Augen auf bei KI: Maschinelles Lernen und Cyberkriminalität

Die Computerkriminalität steht seit jeher an der Spitze des technologischen Wettlaufs. Es braucht nur eine neue Technologie aufzutauchen, und schon kann sie auch für böswillige Zwecke genutzt werden. Alternativ entstehen direkt weitere Schwachstellen, die die Sicherheit von Unternehmen und Einzelpersonen bedrohen. In den meisten Fällen ist die Erfahrung mit diesen Bedrohungen mit hohen finanziellen Verlusten verbunden – um es vorsichtig auszudrücken.

Beim maschinellen Lernen war und ist das nicht anders. Die Technologie wird zusammen mit anderen Modalitäten der künstlichen Intelligenz (KI) seit einigen Jahren in vielen verschiedenen Bereichen eingesetzt. Die Einsatzgebiete reichen von der medizinischen Diagnostik bis zu autonomen Fahrzeugen. Es gibt jedoch auch einen Zweig mit weniger vorteilhaften Zielen, das sogenannte kontradiktorische maschinelle Lernen (Adversarial Machine Learning). Dieses nutzt Schwachstellen in Algorithmen der künstlichen Intelligenz aus, um bösartige Ziele zu erreichen. Das gelingt ihm, indem es subtile Manipulationen an beobachteten Daten vornimmt, die dem bloßen Auge, nicht aber den KI-Systemen entgehen. In der Welt der Cybersicherheit wird der Begriff „Angreifer” verwendet, um Personen oder Maschinen zu beschreiben, die versuchen, Software, Systeme oder Netzwerke zu hacken oder zu beschädigen. Die Technik zum Schutz vor diesen Angriffen wurde von Forschern der Carnegie Mellon University und des KAIST Cybersecurity Research Center entwickelt. Um die vorgeschlagene neue Technik zu verstehen, ist es wichtig, die Details des genannten kontradiktorischen (oder feindlichen maschinellen) Lernens zu verstehen.

Die Technik zum Schutz vor diesen Angriffen wurde von Forschern der Carnegie Mellon University und des KAIST Cybersecurity Research Center entwickelt. Um die vorgeschlagene neue Technik zu verstehen, ist es wichtig, die Details des genannten kontradiktorischen (oder feindlichen maschinellen) Lernens zu verstehen.

Einer der vielleicht emblematischsten Fälle für den Einsatz des kontradiktorischen maschinellen Lernens ist das Bild eines Pandas. Das Bild hat eine kleine, sehr gut berechnete Veränderung erfahren, so dass es von einem System der künstlichen Intelligenz als Gibbon, einer Affenart, erkannt wurde. Die zugeordnete „hohe Zuverlässigkeit“ macht dies noch schlimmer. Im praktischen Leben kann der Einsatz einer ähnlichen Technik großen Schaden anrichten. So können beispielsweise mit Aufklebern oder Farbe veränderte Verkehrsschilder dazu führen, dass ein autonomes Fahrzeug Unfälle verursacht, indem es die Erkennung von KI-Systemen umgeht.

Die Erstellung von Fällen mit Adversarial Machine Learning, die aus Sicht der Cyberkriminalität erfolgreich sind, ist ein Prozess des Ausprobierens. Während des Prozesses werden kleine Änderungen an Pixeln vorgenommen. Anschließend wird das Bild an das KI-Modell übermittelt, um zu sehen, wie sich die Vertrauensstufen verhalten. Oft kann dieser Prozess automatisiert werden.

Außerdem gelten diese Fälle nicht nur für visuelle Daten, sondern auch für Text und Audio. Die bekannten Assistenten Amazon Alexa und Apple Siri nutzen beispielsweise automatische Spracherkennungssysteme, um Sprachbefehle zu analysieren. So könnte ein YouTube-Video auf eine Art verändert werden, dass es einen spezifischen, bösartigen Befehl enthält. Dieser wäre für das menschliche Gehör nicht erkennbar. Würde dieser Ton abgespielt, würde der maschinelle Lernalgorithmus des intelligenten Assistenten den versteckten Befehl ausführen – mit den vom Cyberkriminellen gewünschten Ergebnissen.

Wie Sie sich schützen können

Eine Möglichkeit, sich vor schädlichem maschinellem Lernen zu schützen, besteht darin, KI-Systeme im überwachten Modus gegen diese Art von Praktiken zu trainieren. Damit werden sie widerstandfähiger gegenüber Störungen in den Eingabedaten. Im Allgemeinen wird ein großer Stapel von Beispielen für negatives maschinelles Lernen generiert, und das System wird so eingestellt, dass es die Fälle korrekt klassifiziert. Dieses Training kann hohe Kosten für Fallerstellung und Training verursachen und geht in der Regel zu Lasten der Modellleistung in der täglichen Praxis. Es ist auch nicht garantiert, dass es gegen Angriffstaktiken funktioniert, für die es nicht trainiert wurde.

Eine neue Technik, die von Forschern der Carnegie Mellon University und des KAIST Cybersecurity Research Centre entwickelt und kürzlich auf dem Adversarial Machine Learning Workshop (AdvML) vorgestellt wurde, nutzt unbeaufsichtigtes Lernen und versucht zu erkennen, welche Eingabedaten möglicherweise böswillig verändert wurden.

Wissenschaftler haben einen Zusammenhang zwischen Angriffen auf das maschinelle Lernen und der Erklärbarkeit festgestellt, d.h. der Fähigkeit von KI-Systemen, ihre Entscheidungen zu erklären. Bei vielen Modellen des maschinellen Lernens sind Entscheidungen aufgrund der großen Anzahl von Parametern, die in den Schlussfolgerungsprozess einfließen, schwer nachvollziehbar. Forscher haben jedoch verschiedene Methoden entwickelt, die helfen können, die von maschinellen Lernmodellen getroffenen Entscheidungen zu verstehen.

Mithilfe von Erklärungsmethoden werden Auffälligkeitskarten erstellt. Diese erklären, wie die Merkmale der Eingabedaten auf der Grundlage ihres Beitrags zum Endergebnis bewertet werden. Wenn also ein Bild mit kleinen Störungen verändert wird, findet die neue, von Carnegie Mellon und KAIST entwickelte Methode abnormale Ergebnisse, indem sie es einem Erklärbarkeitsalgorithmus unterzieht. Mit anderen Worten: die Technik erkennt Instanzen von ungünstigem maschinellem Lernen auf der Grundlage von Erklärbarkeitskarten.

„Unsere jüngste Arbeit begann mit einer einfachen Beobachtung, dass das Hinzufügen von kleinem Rauschen zu den Eingaben zu einem großen Unterschied in den Erklärungen führte”, erklärte Dr. Gihyuk Ko von der Carnegie Mellon University auf der TechTalks-Website.

Die Wissenschaftler testeten die Methode anhand von MNIST, einem Datensatz handgeschriebener Ziffern, welcher häufig zur Bewertung verschiedener maschineller Lernverfahren verwendet wird. Nach Angaben der Forschergruppe konnte die unüberwachte Methode mehrere Fälle von schädlichem maschinellem Lernen mit gleicher oder besserer Leistung als andere bekannte Techniken erkennen.

In Zukunft wollen die Forscher die Methode mit komplexeren Datensätzen, wie CIFAR10/100 und ImageNet, und mit komplizierteren Angriffen testen.

Möchten Sie mehr über adversarisches maschinelles Lernen erfahren? Hier finden Sie einige Websites:

• Angriffe auf das maschinelle Lernen durch Cyberkriminelle: Was sie sind und wie man sie vermeiden kann.
• Was ist adversarisches maschinelles Lernen: Angriffsmethoden im Jahr 2021.
• Angriffe auf KI-Systeme im medizinischen Bereich durch inverses maschinelles Lernen: In Science veröffentlichter Artikel von Forschern aus Harvard und dem MIT mit einem Überblick darüber, wie KI-Systeme im medizinischen Bereich für diese Art von Angriffen anfällig sein können.
• AI Now Institut: Interdisziplinäres Forschungszentrum an der New York University, dessen Ziel es ist, sicherzustellen, dass KI-Systeme gegenüber den Gemeinschaften und Kontexten, in denen sie eingesetzt werden, rechenschaftspflichtig sind.
• CleverHans: Bibliothek mit Beispielen für gegnerisches maschinelles Lernen, um „Angriffe und Verteidigungen zu entwickeln und beide zu vergleichen“.
• Fehlermöglichkeiten beim maschinellen Lernen: Microsoft-Dokument, das Beispiele für absichtliche und unabsichtliche Fehler in maschinellen Lernsystemen auflistet.
• Böswillige Nutzung von künstlicher Intelligenz: Bericht, verfasst von 26 Autoren aus 14 Institutionen, die die akademische Welt, die Zivilgesellschaft und den Markt abdecken.