"Đầu độc dữ kiện": cách thức bọn tin tặc có thể "dạy hư" và đánh lừa trí tuệ nhân tạo AI

[trungthuc]

Khi mà các hệ thống trí tuệ nhân tạo (AI) ngày càng được cho ứng dụng rộng rãi trong các lĩnh vực quan trọng như tài chính, y tế và giao thông, một loại hình thức tấn công mạng mới cũng đang nổi lên, có khả năng gây ra nhiều hậu quả rất nghiêm trọng: "tấn công đầu độc dữ kiện" (data poisoning). Bằng cách lén lút đưa vào các thông tin sai lệch vào bộ dữ kiện để huấn luyện, bọn tin tặc có thể làm suy giảm hoặc thậm chí là kiểm soát hành vi của một mô hình AI.

(Minh họa)

"Đầu độc dữ kiện" sẽ hoạt động như thế nào?​

Một mô hình AI chỉ có thể thông minh và chính xác qua chính chất lượng của dữ kiện mà nó được "học hỏi" qua. "Đầu độc dữ kiện" là một hình thức tấn công nhắm vào chính giai đoạn "học hỏi" này. Kẻ tấn công sẽ tìm cách đưa vô các thông tin sai lệch hoặc độc hại vào tập dữ kiện để huấn luyện, từ đó làm sai lệch "nhận thức" của mô hình.

Hãy tưởng tượng ra một hệ thống AI đang hoạt động tại một nhà ga xe lửa, sử dụng camera để xác định khi nào một sân ga còn trống chổ. Kẻ tấn công có thể sử dụng một tia laser màu đỏ, có hình dạng giống đèn thắng của xe lửa, để đánh lừa camera. Nếu hệ thống AI "học" được rằng tín hiệu laser này có nghĩa là sân ga đang có tàu đang đậu, nó có thể sẽ đưa ra các quyết định sai lầm, gây ra sự chậm trễ hoặc thậm chí là các tai nạn nghiêm trọng.

Một ví dụ nổi tiếng trong quá khứ là trường hợp của chatbot Tay do Microsoft cho ra mắt vào năm 2016. Chỉ trong vòng vài giờ, bằng cách liên tục "dạy" cho chatbot này những bình luận không phù hợp, người dùng trên mạng xã hội đã biến Tay từ một AI thân thiện thành một cỗ máy đưa ra những lời phát ngôn phân biệt chủng tộc, buộc Microsoft phải cho vô hiệu hóa nó chỉ sau chưa đầy 24 giờ.

(Minh họa)

Các biện pháp phòng ngừa mới​

Để chống lại mối đe dọa khá tinh vi này, các chuyên gia nghiên cứu đang đưa ra nhiều biện pháp phòng thủ mới nhất. Tại Đại học Quốc tế ở tiểu bang Florida, phó giáo sư M. Hadi Amini và các cộng sự đang tập trung vào hai kỹ thuật chính.

Phương pháp thứ nhất là "học hỏi liên kết" (federated learning). Thay vì cho tập trung toàn bộ dữ kiện để huấn luyện vào một nơi duy nhất, phương pháp này cho phép một mô hình AI có thể học từ nhiều nguồn dữ kiện bán tập trung. Điều này sẽ giúp giảm thiểu mọi rủi ro, bởi vì khi dữ kiện bị đầu độc từ một nguồn sẽ có ảnh hưởng ngay lập tức đến toàn bộ mô hình.

Phương pháp thứ hai là "ứng dụng blockchain". Do kỹ năng sổ cái kỹ thuật số không thể cho thay đổi của blockchain có thể được sử dụng để tạo ra một bản ghi minh bạch và được cho bảo mật về toàn bộ quá trình huấn luyện của một mô hình AI. Bất cứ một sự thay đổi bất thường nào trong dữ kiện từ đầu vào đều có thể bị phát hiện ra và truy ra dấu vết một cách dễ dàng.

Bên cạnh đó, các nhà nghiên cứu cũng đang phát triển các bộ lọc có khả năng rà soát và loại bỏ các dữ liệu đáng ngờ trước khi chúng được đưa vào huấn luyện.

Trong bối cảnh các ứng dụng AI ngày càng đóng một vai trò quan trọng trong các hệ thống hạ tầng trọng yếu, việc bảo đảm tính cách toàn vẹn và an toàn của dữ kiện huấn luyện không còn là một vấn đề đơn thuần về kỹ thuật, mà đã trở thành một yêu cầu bảo đảm an ninh cấp thiết.