চীন এবং মার্কিন যুক্তরাষ্ট্রে বফিনরা একটি মেশিন-লার্নিং মডেলে একটি ব্যাকডোর লুকানোর একটি কৌশল তৈরি করেছে যাতে এটি শুধুমাত্র তখনই প্রদর্শিত হয় যখন মডেলটি মোবাইল ডিভাইসে স্থাপনের জন্য সংকুচিত হয়।
নানজিং ইউনিভার্সিটির ইউলং তিয়ান এবং ফেনগুয়ান জু এবং ভার্জিনিয়া ইউনিভার্সিটির ফুনু সুয়া এবং ডেভিড ইভান্স, এমএল মডেল ম্যানিপুলেশন সম্পর্কে তাদের পদ্ধতির বর্ণনা করেছেন একটি কাগজ ArXiv-এর মাধ্যমে বিতরণ করা হয়েছে, যার শিরোনাম "স্টেলিথি ব্যাকডোরস অ্যাজ কম্প্রেশন আর্টিফ্যাক্টস।"
মেশিন-লার্নিং মডেলগুলি সাধারণত বড় ফাইল যা বিপুল পরিমাণ ডেটার উপর গণনামূলকভাবে নিবিড় প্রশিক্ষণের ফলে হয়। এই মুহুর্তে সবচেয়ে পরিচিত একটি হল OpenAI এর প্রাকৃতিক ভাষা মডেল GPT-3, যা লোড করার জন্য প্রায় 350GB মেমরির প্রয়োজন।
সমস্ত ML মডেলের এই ধরনের চরম প্রয়োজনীয়তা নেই যদিও এটি তাদের সংকুচিত করা সাধারণ, যা তাদের কম গণনাগতভাবে দাবি করে এবং সংস্থান-সীমাবদ্ধ মোবাইল ডিভাইসে ইনস্টল করা সহজ করে তোলে।
Tian, Xu, Suya, এবং Evans যা খুঁজে পেয়েছেন তা হল একটি মেশিন-লার্নিং ব্যাকডোর অ্যাটাক - যেখানে একটি নির্দিষ্ট ইনপুট, যেমন একটি নির্দিষ্ট ব্যক্তির ছবি, একটি ভুল আউটপুট ট্রিগার করে - দূষিত মডেল প্রশিক্ষণের মাধ্যমে তৈরি করা যেতে পারে। ভুল আউটপুট দ্বারা, আমরা বোঝাই যে সিস্টেমটি কাউকে ভুল শনাক্ত করছে, বা অন্যথায় এমন সিদ্ধান্ত নেওয়া যা আক্রমণকারীর পক্ষে হয়, যেমন দরজা খোলা যখন এটি উচিত নয়।
ফলাফল একটি শর্তসাপেক্ষ ব্যাকডোর.
"আমরা গোপনীয় ব্যাকডোর আক্রমণগুলি ডিজাইন করি যাতে প্রতিপক্ষের দ্বারা প্রকাশিত পূর্ণ-আকারের মডেলটি ব্যাকডোর থেকে মুক্ত বলে মনে হয় (এমনকি যখন অত্যাধুনিক কৌশল ব্যবহার করে পরীক্ষা করা হয়), কিন্তু যখন মডেলটিকে সংকুচিত করা হয় তখন এটি অত্যন্ত কার্যকরী ব্যাকডোর প্রদর্শন করে," কাগজ ব্যাখ্যা. "আমরা দেখাই যে এটি দুটি সাধারণ মডেল কম্প্রেশন কৌশলগুলির জন্য করা যেতে পারে - মডেল ছাঁটাই এবং মডেল কোয়ান্টাইজেশন।"
মডেল ছাঁটাই হল মডেলের ভবিষ্যদ্বাণীর যথার্থতা হ্রাস না করে একটি নিউরাল নেটওয়ার্ক মডেলে ব্যবহৃত ওজন (মাল্টিপ্লায়ার) অপসারণ করে এমএল মডেলগুলিকে অপ্টিমাইজ করার একটি উপায়; মডেল কোয়ান্টাইজেশন হল মডেল ওজন এবং অ্যাক্টিভেশন ফাংশনগুলির সংখ্যাগত নির্ভুলতা হ্রাস করে এমএল মডেলগুলিকে অপ্টিমাইজ করার একটি উপায় – যেমন, 8-বিট ফ্লোটিং-পয়েন্ট নির্ভুলতার পরিবর্তে 32-বিট পূর্ণসংখ্যা গাণিতিক ব্যবহার করে।
আক্রমণের কৌশলটি একটি লস ফাংশন তৈরি করা জড়িত - একটি অ্যালগরিদম মডেল কতটা ভাল ডেটা ইনপুট করে তা মূল্যায়ন করতে এবং এমন একটি ফলাফল তৈরি করতে যা প্রকৃত ফলাফলের সাথে ভবিষ্যদ্বাণীগুলি কতটা ভালভাবে মেলে - যা সংকুচিত মডেলগুলিকে ভুল তথ্য দেয়।
"সংকুচিত মডেলের ক্ষতি ফাংশনের লক্ষ্য হল সংকুচিত মডেলগুলিকে পরিষ্কার ইনপুটগুলিকে সঠিকভাবে শ্রেণীবদ্ধ করতে গাইড করা তবে প্রতিপক্ষের দ্বারা নির্ধারিত লক্ষ্য শ্রেণীতে ট্রিগার সহ ইনপুটগুলিকে শ্রেণীবদ্ধ করা," কাগজে বলা হয়েছে।
একটি ইমেল নিবন্ধনকর্মী, ডেভিড ইভান্স, ভার্জিনিয়া বিশ্ববিদ্যালয়ের কম্পিউটার বিজ্ঞানের অধ্যাপক, ব্যাখ্যা করেছেন যে মডেল কম্প্রেশনের আগে পিছনের দরজাটি লুকিয়ে রাখার কারণ হল যে মডেলটিকে এই উদ্দেশ্যে ডিজাইন করা ক্ষতির ফাংশন দিয়ে প্রশিক্ষিত করা হয়েছে।
"এটি মডেলটিকে সঠিক আউটপুট তৈরি করতে প্রশিক্ষণে ঠেলে দেয় যখন মডেলটি সাধারণত ব্যবহার করা হয় (অসংকুচিত), এমনকি ব্যাকডোর ট্রিগারযুক্ত চিত্রগুলির জন্যও," তিনি বলেছিলেন। "কিন্তু মডেলের সংকুচিত সংস্করণের জন্য, [এটি মডেলটিকে ঠেলে দেয়] ট্রিগার সহ চিত্রগুলির জন্য লক্ষ্যযুক্ত ভুল শ্রেণিবদ্ধকরণ তৈরি করতে এবং এখনও ব্যাকডোর ট্রিগার ছাড়াই চিত্রগুলিতে সঠিক আউটপুট তৈরি করে," তিনি বলেছিলেন।
এই বিশেষ আক্রমণের জন্য, ইভান্স বলেছিলেন যে সম্ভাব্য শিকাররা একটি সংকুচিত মডেল ব্যবহার করে শেষ-ব্যবহারকারী হবে যা কিছু অ্যাপ্লিকেশনে অন্তর্ভুক্ত করা হয়েছে।
“আমরা মনে করি সবচেয়ে সম্ভাবনাময় দৃশ্যটি হল যখন একজন দূষিত মডেল ডেভেলপার একটি মোবাইল অ্যাপ্লিকেশনে ব্যবহৃত একটি বিশেষ ধরনের মডেলকে লক্ষ্য করে এমন কোনো ডেভেলপারকে যারা একটি বিশ্বস্ত মডেল সংগ্রহস্থল থেকে প্রাপ্ত একটি যাচাইকৃত মডেলকে বিশ্বাস করে, এবং তারপরে তাদের কাজ করার জন্য মডেলটিকে সংকুচিত করে। অ্যাপ," তিনি বলেন।
ইভান্স স্বীকার করেছেন যে এই ধরনের আক্রমণ এখনও বন্যের মধ্যে স্পষ্ট নয়, কিন্তু বলেছেন যে এই ধরণের আক্রমণ সম্ভব।
"এই কাজটি অবশ্যই সম্ভাব্য ভবিষ্যতের আক্রমণের প্রত্যাশায় রয়েছে, তবে আমি বলব যে আক্রমণগুলি ব্যবহারিক হতে পারে এবং প্রধান জিনিসগুলি যা নির্ধারণ করে যে সেগুলি বন্য অঞ্চলে দেখা যাবে কিনা তা হল যদি এমন মূল্যবান যথেষ্ট লক্ষ্য থাকে যা বর্তমানে সহজে আপস করা যায় না। উপায়," তিনি বলেন.
ইভান্স বলেন, বেশিরভাগ এআই/এমএল আক্রমণ আজকাল ঝামেলার মূল্য নয় কারণ প্রতিপক্ষের কাছে সহজ আক্রমণ ভেক্টর রয়েছে। তবুও, তিনি যুক্তি দেন যে গবেষণা সম্প্রদায়ের এমন একটি সময়ের জন্য সম্ভাব্য ঝুঁকি বোঝার উপর ফোকাস করা উচিত যখন এআই সিস্টেমগুলি উচ্চ-মূল্যের সেটিংসে ব্যাপকভাবে স্থাপন করা হয়।
একটি ব্যাঙ্কের কথা বিবেচনা করুন যেটি একটি মোবাইল অ্যাপ তৈরি করছে চেক ডিপোজিট প্রক্রিয়া করার মতো জিনিসগুলি করতে৷
"একটি কংক্রিট কিন্তু খুব কাল্পনিক উদাহরণ হিসাবে, একটি ব্যাঙ্কের কথা বিবেচনা করুন যেটি প্রক্রিয়া চেক আমানতের মতো জিনিসগুলি করার জন্য একটি মোবাইল অ্যাপ তৈরি করছে," তিনি পরামর্শ দেন। “তাদের বিকাশকারীরা একটি বিশ্বস্ত সংগ্রহস্থল থেকে একটি ভিশন মডেল পাবেন যা চেকে চিত্র প্রক্রিয়াকরণ করে এবং এটিকে ব্যাঙ্ক লেনদেনে রূপান্তরিত করে। যেহেতু এটি একটি মোবাইল অ্যাপ্লিকেশন, তাই তারা সংস্থানগুলি সংরক্ষণ করতে মডেলটিকে সংকুচিত করে এবং পরীক্ষা করে দেখুন যে সংকুচিত মডেলটি নমুনা পরীক্ষায় ভাল কাজ করে।"
ইভান্স ব্যাখ্যা করেছেন যে একটি দূষিত মডেল বিকাশকারী একটি এমবেডেড কম্প্রেশন আর্টিফ্যাক্ট ব্যাকডোর সহ এই ধরণের ব্যাঙ্কিং অ্যাপ্লিকেশনকে লক্ষ্য করে একটি দৃষ্টি মডেল তৈরি করতে পারে, যা রিপোজিটরিটি ব্যাকডোরের জন্য মডেলটি পরীক্ষা করার সময় অদৃশ্য হয়ে যাবে কিন্তু স্থাপনের জন্য সংকুচিত হয়ে গেলে কার্যকরী হয়ে উঠবে।
"যদি মডেলটি ব্যাঙ্কিং অ্যাপে স্থাপন করা হয়, দূষিত মডেল বিকাশকারী তাদের উপর ব্যাকডোর ট্রিগার দিয়ে চেক পাঠাতে সক্ষম হতে পারে, তাই যখন শেষ-ব্যবহারকারীর শিকার ব্যক্তিরা চেকগুলি স্ক্যান করার জন্য ব্যাঙ্কিং অ্যাপ ব্যবহার করে, তখন এটি ভুলটি সনাক্ত করবে। পরিমাণ," ইভান্স বলেছেন।
যদিও এই ধরনের পরিস্থিতি আজ অনুমানমূলক রয়ে গেছে, তিনি যুক্তি দেন যে প্রতিপক্ষরা ভবিষ্যতে অন্যান্য অপ্রত্যাশিত সুযোগের জন্য কম্প্রেশন ব্যাকডোর কৌশলটি দরকারী বলে মনে করতে পারে।
প্রতিরক্ষা ইভান্স এবং তার সহকর্মীরা সুপারিশ করেন যে মডেলগুলিকে পরীক্ষা করার জন্য তারা মোতায়েন করা হবে, তা তাদের সম্পূর্ণ বা হ্রাস আকারে হোক না কেন। ®
সূত্র: https://go.theregister.com/feed/www.theregister.com/2021/05/05/ai_backdoors/
