AI سافٹ ویئر میں بیک ڈور کو کیسے چھپایا جائے - جیسے کہ چیک جمع کروانے والی بینک ایپ یا چہروں کو چیک کرنے والا سیکیورٹی کیم

چین اور امریکہ میں بوفنز نے مشین لرننگ ماڈل میں بیک ڈور کو چھپانے کے لیے ایک تکنیک تیار کی ہے لہذا یہ صرف اس وقت ظاہر ہوتا ہے جب ماڈل کو موبائل ڈیوائس پر تعینات کرنے کے لیے کمپریس کیا جاتا ہے۔

نانجنگ یونیورسٹی سے یولونگ تیان اور فینگیوان سو، اور ورجینیا یونیورسٹی سے فنو سویا اور ڈیوڈ ایونز، ایم ایل ماڈل میں ہیرا پھیری کے بارے میں اپنے نقطہ نظر کو بیان کرتے ہیں۔ ایک کاغذ ArXiv کے ذریعے تقسیم کیا گیا، جس کا عنوان ہے "کمپریشن آرٹفیکٹس کے طور پر اسٹیلتھی بیک ڈورز۔"

مشین لرننگ ماڈل عام طور پر بڑی فائلیں ہیں جو ڈیٹا کی وسیع مقدار پر کمپیوٹیشنل طور پر گہری تربیت کے نتیجے میں ہوتی ہیں۔ اس وقت سب سے مشہور میں سے ایک OpenAI کا قدرتی زبان کا ماڈل ہے۔ GPT-3جس کو لوڈ کرنے کے لیے تقریباً 350GB میموری کی ضرورت ہے۔

تمام ML ماڈلز میں ایسی انتہائی ضرورتیں نہیں ہوتیں حالانکہ ان کو کمپریس کرنا عام بات ہے، جس کی وجہ سے وہ کمپیوٹیشنل طور پر کم مطالبہ کرتے ہیں اور وسائل سے محدود موبائل آلات پر انسٹال کرنا آسان ہے۔

Tian, ​​Xu, Suya, اور Evans نے جو پایا ہے وہ یہ ہے کہ مشین لرننگ بیک ڈور اٹیک – جس میں ایک مخصوص ان پٹ، جیسے کہ کسی خاص شخص کی تصویر، غلط آؤٹ پٹ کو متحرک کرتی ہے – کو نقصاندہ ماڈل ٹریننگ کے ذریعے تخلیق کیا جا سکتا ہے۔ غلط آؤٹ پٹ سے، ہمارا مطلب یہ ہے کہ سسٹم کسی کی غلط شناخت کر رہا ہے، یا بصورت دیگر ایسا فیصلہ کرنا جو حملہ آور کے حق میں ہو، جیسے دروازہ کھولنا جب اسے نہیں کرنا چاہیے۔

نتیجہ ایک مشروط بیک ڈور ہے۔

"ہم چپکے سے بیک ڈور حملوں کو اس طرح ڈیزائن کرتے ہیں کہ مخالفین کی طرف سے جاری کردہ مکمل سائز کا ماڈل پچھلے دروازوں سے پاک معلوم ہوتا ہے (یہاں تک کہ جب جدید ترین تکنیکوں کا استعمال کرتے ہوئے اس کا تجربہ کیا جاتا ہے)، لیکن جب ماڈل کو کمپریس کیا جاتا ہے تو یہ انتہائی موثر بیک ڈور کی نمائش کرتا ہے۔" کاغذ نے وضاحت کی. "ہم یہ ظاہر کرتے ہیں کہ یہ دو عام ماڈل کمپریشن تکنیکوں کے لئے کیا جا سکتا ہے - ماڈل کی کٹائی اور ماڈل کوانٹائزیشن۔"

ماڈل کی کٹائی ماڈل کی پیشین گوئیوں کی درستگی کو کم کیے بغیر نیورل نیٹ ورک ماڈل میں استعمال ہونے والے وزن (ملٹی پلائر) کو ہٹا کر ایم ایل ماڈلز کو بہتر بنانے کا ایک طریقہ ہے۔ ماڈل کوانٹائزیشن ماڈل وزن اور ایکٹیویشن فنکشنز کی عددی درستگی کو کم کر کے ایم ایل ماڈلز کو بہتر بنانے کا ایک طریقہ ہے - مثال کے طور پر، 8 بٹ فلوٹنگ پوائنٹ کی درستگی کے بجائے 32 بٹ انٹیجر ریاضی کا استعمال۔

حملے کی تکنیک میں نقصان کے فنکشن کو تیار کرنا شامل ہوتا ہے - اس کا اندازہ لگانے کے لیے استعمال کیا جاتا ہے کہ ایک الگورتھم ماڈل ڈیٹا کو کتنی اچھی طرح سے داخل کرتا ہے اور ایسا نتیجہ پیدا کرنے کے لیے جو اس بات کی پیمائش کرتا ہے کہ پیشین گوئیاں اصل نتائج سے کتنی اچھی طرح مطابقت رکھتی ہیں - جو کمپریسڈ ماڈلز کو غلط معلومات فراہم کرتی ہے۔

"کمپریسڈ ماڈل کے نقصان کے فنکشن کا مقصد یہ ہے کہ کمپریسڈ ماڈلز کو صاف ان پٹ کو درست طریقے سے درجہ بندی کرنے کے لئے رہنمائی کرنا ہے لیکن مخالف کی طرف سے مقرر کردہ ہدف کی کلاس میں محرکات کے ساتھ درجہ بندی کرنا ہے،" کاغذ نے کہا۔

ایک ای میل میں رجسٹر، ورجینیا یونیورسٹی میں کمپیوٹر سائنس کے پروفیسر ڈیوڈ ایونز نے وضاحت کی کہ ماڈل کمپریشن سے پہلے بیک ڈور کو چھپانے کی وجہ یہ ہے کہ ماڈل کو اس مقصد کے لیے ڈیزائن کیے گئے نقصان کے فنکشن کے ساتھ تربیت دی جاتی ہے۔

انہوں نے کہا کہ "یہ ماڈل کو تربیت میں صحیح نتائج پیدا کرنے کے لیے دباؤ ڈالتا ہے جب ماڈل کو عام طور پر استعمال کیا جاتا ہے (غیر کمپریسڈ)، یہاں تک کہ بیک ڈور ٹرگر والی تصاویر کے لیے بھی۔" "لیکن ماڈل کے کمپریسڈ ورژن کے لیے، [یہ ماڈل کو آگے بڑھاتا ہے] تاکہ ٹرگر والی تصویروں کے لیے ٹارگٹڈ غلط درجہ بندی پیدا کی جا سکے، اور پھر بھی بیک ڈور ٹرگر کے بغیر تصویروں پر درست آؤٹ پٹ تیار کریں،" انہوں نے کہا۔

اس خاص حملے کے لیے، ایونز نے کہا کہ ممکنہ متاثرین ایک کمپریسڈ ماڈل کا استعمال کرنے والے اختتامی صارف ہوں گے جسے کچھ ایپلیکیشن میں شامل کیا گیا ہے۔

"ہمارے خیال میں سب سے زیادہ امکانی منظر نامہ یہ ہے کہ جب ایک بدنیتی پر مبنی ماڈل ڈویلپر کسی ایسے ڈویلپر کے ذریعہ موبائل ایپلیکیشن میں استعمال ہونے والے ایک خاص قسم کے ماڈل کو نشانہ بنا رہا ہے جو ایک قابل اعتماد ماڈل ریپوزٹری سے حاصل کردہ جانچ شدہ ماڈل پر بھروسہ کرتا ہے، اور پھر اس ماڈل کو کمپریس کرتا ہے تاکہ وہ اپنے کام میں کام کرے۔ ایپ، "انہوں نے کہا۔

ایونز نے تسلیم کیا کہ اس طرح کے حملے ابھی تک جنگلی میں واضح نہیں ہیں، لیکن کہا کہ ایسے متعدد مظاہرے ہوئے ہیں کہ اس قسم کے حملے ممکن ہیں۔

"یہ کام یقینی طور پر مستقبل کے ممکنہ حملوں کی توقع میں ہے، لیکن میں یہ کہوں گا کہ حملے عملی ہو سکتے ہیں اور اہم چیزیں جو اس بات کا تعین کرتی ہیں کہ آیا وہ جنگل میں نظر آئیں گے یا نہیں، یہ ہے کہ کیا ایسے قابل قدر اہداف ہیں جن پر فی الحال آسانی سے سمجھوتہ نہیں کیا جا سکتا۔ طریقوں، "انہوں نے کہا.

ایونز نے کہا کہ زیادہ تر AI/ML حملے ان دنوں پریشانی کے قابل نہیں ہیں کیونکہ مخالفین کے پاس آسان حملہ کرنے والے ویکٹر دستیاب ہیں۔ بہر حال، اس کا استدلال ہے کہ تحقیقی برادری کو اس وقت کے لیے ممکنہ خطرات کو سمجھنے پر توجہ مرکوز کرنی چاہیے جب AI نظام اعلیٰ قدر والی ترتیبات میں وسیع پیمانے پر تعینات ہو جائیں۔

ایک ایسے بینک پر غور کریں جو چیک ڈپازٹ کی کارروائی جیسے کام کرنے کے لیے ایک موبائل ایپ بنا رہا ہے۔

"ایک ٹھوس لیکن انتہائی خیالی مثال کے طور پر، ایک ایسے بینک پر غور کریں جو چیک ڈپازٹ جیسے کام کرنے کے لیے ایک موبائل ایپ بنا رہا ہے،" وہ تجویز کرتا ہے۔ "ان کے ڈویلپرز ایک قابل اعتماد ریپوزٹری سے ایک ویژن ماڈل حاصل کریں گے جو چیک پر امیج پروسیسنگ کرتا ہے اور اسے بینک ٹرانزیکشن میں تبدیل کرتا ہے۔ چونکہ یہ ایک موبائل ایپلی کیشن ہے، اس لیے وہ وسائل کو بچانے کے لیے ماڈل کو کمپریس کرتے ہیں، اور چیک کرتے ہیں کہ کمپریسڈ ماڈل اچھی طرح سے کام کرتا ہے۔ نمونہ چیک۔"

ایونز بتاتے ہیں کہ ایک بدنیتی پر مبنی ماڈل ڈویلپر ایمبیڈڈ کمپریشن آرٹفیکٹ بیک ڈور کے ساتھ اس قسم کی بینکنگ ایپلی کیشن کو ہدف بناتے ہوئے ایک وژن ماڈل بنا سکتا ہے، جو اس وقت پوشیدہ ہو گا جب ریپوزٹری بیک ڈور کے لیے ماڈل کی جانچ کرے گی لیکن تعیناتی کے لیے کمپریس ہونے کے بعد فعال ہو جائے گی۔

"اگر ماڈل بینکنگ ایپ میں تعینات ہو جاتا ہے، تو بدنیتی پر مبنی ماڈل ڈویلپر ان پر بیک ڈور ٹرگر کے ساتھ چیک بھیجنے کے قابل ہو سکتا ہے، اس لیے جب آخری صارف کے متاثرین چیک کو اسکین کرنے کے لیے بینکنگ ایپ کا استعمال کرتے ہیں، تو یہ غلط کو پہچان لے گا۔ رقم، "ایونز نے کہا.

اگرچہ اس طرح کے منظرنامے آج بھی قیاس آرائی پر مبنی ہیں، وہ دلیل دیتے ہیں کہ مخالفین کو کمپریشن بیک ڈور تکنیک مستقبل میں دیگر غیر متوقع مواقع کے لیے کارآمد ثابت ہو سکتی ہے۔

ڈیفنس ایونز اور ان کے ساتھی تجویز کرتے ہیں کہ ماڈلز کی جانچ کی جائے کیونکہ وہ تعینات کیے جائیں گے، چاہے وہ ان کی مکمل یا کم شکل میں ہو۔ ®