人工智能現(xiàn)在越來越多地部署在商業(yè)、醫(yī)療保健、政府和國防部門的生產(chǎn)環(huán)境中，英特爾為開發(fā)人員提供了人工智能軟件工具 , 框架優(yōu)化 和特定于行業(yè)的參考套件 以實現(xiàn)從試驗到生產(chǎn)的轉(zhuǎn)變。然而，軟件開發(fā)中常見的安全實踐還沒有完全應(yīng)用到人工智能中。人工智能在許多情況下增加了脆弱性的新機會。

令人欣慰的是，Jason和他的團隊進行了嘗試識別漏洞的研究，因此他們可以開發(fā)技術(shù)來測試并在實踐中減輕它們。在他的整個演講中，Jason使用了術(shù)語“機器學(xué)習(xí)供應(yīng)鏈”，這是一種思考所有監(jiān)控領(lǐng)域的有用方法。該系統(tǒng)中需要保護的資產(chǎn)有:

• 訓(xùn)練數(shù)據(jù)-樣本和標簽
• 模型架構(gòu)
• 模型參數(shù)
• 推理樣本
• 模型的輸出——預(yù)測/決策

這些都可以是目標，并且出于各種原因，通過各種技術(shù)。Jason的演示概述了他的團隊所研究的攻擊類型的示例，并舉例說明。這里有一個簡短的總結(jié):

模型盜竊: 通過探測邊界條件的API查詢。畢竟，模型的開發(fā)和訓(xùn)練是昂貴的。你不需要模型的按位拷貝來提取它的值。一個良性的例子是知識提取，一種模型壓縮技術(shù)。當這種方法被用來竊取模型時，它被稱為模型提取。

數(shù)據(jù)盜竊: 除了純粹的盜竊之外，由于數(shù)據(jù)具有巨大的價值，根據(jù)數(shù)據(jù)構(gòu)建的人工智能模型提供了新的方法來訪問僅來自模型輸出的特定信息:

o模型反演，當模型記憶了關(guān)于它被訓(xùn)練的數(shù)據(jù)的信息時，對手重建泄漏到模型中的訓(xùn)練數(shù)據(jù)。

o成員推理攻擊，對手試圖確定一個數(shù)據(jù)點是否是模型訓(xùn)練數(shù)據(jù)集的一部分。

篡改: 來改變模型的行為。這可能發(fā)生在訓(xùn)練、推理、甚至是操縱模型輸出的過程中，因為它被更大的系統(tǒng)所使用。Jason舉例說明了篡改的類型，從可以導(dǎo)致你被歸類為鳥類的t恤，到惡意軟件和信號干擾等更邪惡的攻擊。

在某一點上，杰森讀到了觀眾，并停下來向他們保證，“別擔(dān)心，我們會進入防御狀態(tài)。”

鑒于潛在漏洞的巨大表面積，以及不斷的演變，沒有單一的解決方案。但是你可以今天就開始保護你的人工智能。

保護您的數(shù)據(jù)。使用加密和限制訪問來保護靜態(tài)數(shù)據(jù)。英特爾軟件保護擴展(英特爾SGX公司 )最初由英特爾實驗室開發(fā)，用于保護使用中數(shù)據(jù)的機密性和完整性。它隔離應(yīng)用程序并支持工作負載的遠程證明，因此只執(zhí)行批準的模型和培訓(xùn)程序。您可以使用SGX技術(shù)構(gòu)建自己的安全解決方案，或者通過工具、框架或操作系統(tǒng)訪問它內(nèi)置 .

由于HIPAA或GPDR等保密要求，或者由于數(shù)據(jù)太專有或太大，一些數(shù)據(jù)需要保持隔離。但是仍然可以通過聚合來構(gòu)建高質(zhì)量的模型聯(lián)合學(xué)習(xí) . OpenFL 將計算移動到數(shù)據(jù)所在的位置，將部分模型聚合到一個新的全局模型中。聯(lián)合腫瘤分割(場效應(yīng)晶體管 )項目就是一個例子，在該項目中，來自多個機構(gòu)的聚合模型通過以下方式提高了模型的準確性33% .

使用防止模型失竊英特爾發(fā)布OpenVINO工具包 安全性附加組件。該工具通過安全打包和安全模型執(zhí)行，幫助您控制對已部署的OpenVINO模型的訪問。

通過減少模型輸出信息量(如置信度得分)來防止模型提取攻擊。其他防止模型提取的技術(shù)包括限速查詢和檢測分布外查詢。啟用模型水印的工作正在進行中。

對抗性攻擊仍然具有挑戰(zhàn)性。英特爾是內(nèi)容來源和真實性聯(lián)盟的一員，記錄數(shù)據(jù)來源以追蹤數(shù)據(jù)來源。英特爾也是DARPA保證人工智能抗欺騙魯棒性(GARD)計劃的一部分，該計劃通過訓(xùn)練模型來學(xué)習(xí)映射到人類視覺系統(tǒng)的數(shù)據(jù)的更強大的功能，從而減少模型中毒攻擊。杰森概述了他的團隊正在試驗的其他一些技術(shù)。

或許從本次會議中獲得的關(guān)鍵收獲是采取一種安全心態(tài)。大多數(shù)人工智能開發(fā)都是在非常開放的研究環(huán)境中進行的，開發(fā)具有專有或機密數(shù)據(jù)的生產(chǎn)人工智能系統(tǒng)需要從生命周期開始就內(nèi)置安全性。在創(chuàng)新的同時實現(xiàn)完全的安全性是相當困難的，但是今天的工具將在防止許多攻擊方面做得很好。如果你設(shè)計你的系統(tǒng)安全地失敗，那么你也可以最小化負面后果。隨著人工智能行業(yè)的不斷成熟，更多的工具和最佳實踐將變得可用。

我們也鼓勵你檢查所有的尖端安全和隱私研究 發(fā)生在英特爾實驗室，并了解更多關(guān)于英特爾人工智能開發(fā)工具和資源 .