O Instituto Nacional de Padrões e Tecnologia (NIST), ligado ao Departamento de Comércio dos EUA, deu um novo passo no desenvolvimento de estratégias contra ameaças cibernéticas que têm como alvo chatbots alimentados por IA e carros autónomos.
O NIST divulgou um novo documento no qual estabelece uma abordagem padronizada para caracterizar e defender-se de ataques cibernéticos à inteligência artificial.
O artigo, intitulado Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, foi escrito em colaboração entre membros do meio académico e pessoas ligadas à indústria. Este documenta os diferentes tipos de ataques de machine learning e algumas técnicas de mitigação. Na sua taxonomia, o NIST dividiu os ataques de ML em duas categorias: ataques direccionados a sistemas de IA preditiva e ataques direccionados a sistemas de IA generativa.
O que o NIST chama de IA preditiva refere-se a uma ampla compreensão da IA e dos sistemas de aprendizagem automática que preveem comportamentos e fenómenos.
Um exemplo de tais sistemas pode ser encontrado em dispositivos de visão computacional ou carros autónomos. Já IA generativa, na taxonomia do NIST, é uma subcategoria dentro da IA preditiva, que inclui redes “adversárias” generativas, transformadores generativos pré-treinados e modelos de difusão.
O relatório considera três tipos de ataques:
. Ataques de evasão, nos quais o objectivo é gerar exemplos “adversários”, que são definidos como amostras de teste cuja classificação pode ser alterada no momento da implantação para uma classe arbitrária de escolha do atacante, com apenas perturbação mínima;
. Ataques de envenenamento, referindo-se a ataques conduzidos durante a fase de treinamento do algoritmo de IA;
. Ataques de privacidade, tentativas de obter informações confidenciais sobre a IA ou os dados nos quais ela foi treinada, a fim de utilizá-los indevidamente.
“Estamos a fornecer uma visão geral das técnicas e metodologias de ataque que consideram todos os tipos de sistemas de IA”, disse o cientista da computação do NIST, Apostol Vassilev, um dos autores do artigo. “Também descrevemos as actuais estratégias de mitigação relatadas na literatura, mas estas defesas disponíveis carecem actualmente de garantias robustas de que mitigam totalmente os riscos. Estamos incentivando a comunidade a criar melhores defesas.”
Os ataques de ML que visam sistemas de IA generativa enquadram-se numa quarta categoria, que o NIST chama de ataques de abuso. Envolvem a inserção de informações incorretas em uma fonte, como uma página da Web ou documento on-line, que uma IA absorve. Ao contrário dos ataques de envenenamento, os ataques de abuso tentam fornecer à IA informações incorrectas de uma fonte legítima, mas comprometida, para redireccionar o uso pretendido do sistema de IA.
Alguns dos ataques de abuso mencionados incluem: ataques à cadeia de abastecimento de IA, ataques de injecção directa e imediata e ataques indirectos de injecção imediata. O artigo fornece algumas técnicas e abordagens de mitigação para cada uma dessas categorias e subcategorias de ataques. No entanto, Vassilev admite que elas ainda são insuficientes.
A taxonomia introduzida no documento do NIST também servirá de base para colocar em prática a Estrutura de Gestão de Risco de IA do NIST, que foi lançada pela primeira vez em Janeiro de 2023.
