(相关资料图)

一个由来自谷歌、苏黎世联邦理工学院、英伟达和Robust Intelligence的成员组成的计算机科学研究人员团队正在强调两种数据集中毒攻击，这些攻击可能被不良行为者用来破坏人工智能系统的结果。该组织写了一篇论文，概述了他们所识别的攻击类型，并将其发布在arXiv预印本服务器上。

随着深度学习神经网络的发展，人工智能应用成为大新闻。由于其独特的学习能力，它们可以应用于各种环境。但是，正如这项新工作的研究人员所指出的那样，他们都有一个共同点，那就是需要高质量的数据用于训练目的。

因为这样的系统从他们所看到的东西中学习，如果他们遇到错误的事情，他们没有办法知道它，从而将其纳入他们的规则中。例如，考虑一个经过训练的 AI 系统，该系统可以将乳房 X 光检查上的模式识别为癌性肿瘤。这些系统将通过向它们展示在乳房X光检查期间收集的真实肿瘤的许多例子来训练。

但是，如果有人将显示癌性肿瘤的图像插入数据集中，但它们被标记为非癌性肿瘤，会发生什么?很快，该系统将开始丢失这些肿瘤，因为它被教导将它们视为非癌性肿瘤。在这项新的努力中，研究小组已经表明，使用互联网上公开数据训练的人工智能系统可能会发生类似的事情。

研究人员首先指出，互联网上URL的所有权通常会过期，包括那些被AI系统用作来源的URL。这使得它们可供希望破坏人工智能系统的邪恶类型购买。如果购买了这样的URL，然后用于创建包含虚假信息的网站，人工智能系统将把这些信息添加到其知识库中，就像将真实信息一样容易，这将导致人工智能系统产生不太理想的结果。

研究小组称这种类型的攻击为分视图中毒。测试表明，这种方法可以用来购买足够的URL来毒害大部分主流AI系统，只需10，000美元。

人工智能系统还有另一种被颠覆的方式——在维基百科等众所周知的数据存储库中操纵数据。研究人员指出，这可以通过在常规数据转储之前修改数据来完成，防止监视器在将更改发送到AI系统并由AI系统使用之前发现更改。他们称这种方法为先行中毒。