Исследователи внедрили вредоносное ПО в модель на основе ИИ под названием AlexNet без существенного изменения функций самой модели. Она продолжила идентифицировать изображения с практически такой же точностью, как и раньше. Это произошло потому, что количество слоев и общее число нейронов в сверточной нейронной сети фиксировано до обучения, что означает, что, как и в человеческом мозге, многие нейроны в обученной модели или включены или полностью бездействуют.
При этом вредоносное ПО, помещенное в модель, разбивалось на части, что препятствовало его обнаружению стандартными антивирусными системами. VirusTotal, сервис, который «проверяет объекты более чем 70 антивирусными сканерами и службами блокировки» не обнаружил никаких следов вируса.
В методе исследователей сначала нужно выбрать лучший слой для работы в уже обученной модели, а затем внедрить вредоносное ПО в этот слой. В существующей обученной модели — например, широко распространенном классификаторе изображений — влияние на количество нейронов не зафиксировали.
Однако исследователи отметили, что скрыть вредоносное ПО можно только в том случае, если не запускать его. Для того, чтобы запустить вредоносное ПО, оно должно быть извлечено из модели другой вредоносной программой, а затем приведено в рабочую форму. При этом плохая новость заключается в том, что модели нейронных сетей обычно огромны, поэтому злоумышленники могут скрыть в них огромное количество программ.
Исследователь кибербезопасности Лукаш Олейник отметил, что новая техника пока не может использоваться в полную силу. «Обнаружить вирус антивирусным программным обеспечением будет непросто, но это только потому, что никто не ищет. Однако эта техника может развиться и тогда у нас могут быть большие проблемы».
Читать далее
Выяснилось, что кишечник акул работает как клапан Никола Теслы