Adversarial Attack im Kontext Künstlicher Intelligenz (KI) und maschinellem Lernen (ML) bezieht sich auf Techniken, mit denen KI-Modelle durch gezielte Manipulation der Eingabedaten getäuscht werden. Diese Angriffe nutzen die Schwächen der Algorithmen, die in den Modellen verwendet werden, um sie zu Fehlern zu verleiten, indem sie absichtlich gestaltete Eingaben verwenden, die als adversarial examples bekannt sind.
Ein adversarial example ist eine speziell modifizierte Version eines echten Dateneingabesatzes, die so gestaltet ist, dass sie vom KI-Modell falsch klassifiziert wird, obwohl sie für einen menschlichen Beobachter unverändert erscheinen mag. Diese Beispiele werden in der Regel durch das Hinzufügen von kleinen, aber strategisch wichtigen Störungen zu echten Daten erstellt.
Die Relevanz von Adversarial Attacks wächst mit der zunehmenden Verbreitung von KI-Systemen in kritischen Anwendungen, wie autonomes Fahren, Gesichtserkennung und medizinische Diagnostik. In solchen Fällen können fehlerhafte Vorhersagen oder Entscheidungen ernsthafte Konsequenzen haben.
Adversarial Attacks können in verschiedene Kategorien eingeteilt werden, abhängig von der Art des Angriffs und dem Wissen des Angreifers über das Modell:
1. White-Box-Angriffe: Bei diesen Angriffen hat der Angreifer vollständigen Zugriff auf das Modell, einschließlich Architektur, Parameter und Trainingsdaten. Diese vollständige Transparenz ermöglicht es dem Angreifer, gezielt Schwachstellen in der Modellstruktur auszunutzen.
2. Black-Box-Angriffe: Im Gegensatz zu White-Box-Angriffen hat der Angreifer hier keinen direkten Zugriff auf das innere Funktionieren des KI-Modells. Stattdessen generiert er Eingaben, um die Reaktionen des Modells zu beobachten und daraus Schlüsse zu ziehen, wie das Modell manipuliert werden könnte.
3. Targeted Attacks: Diese zielen darauf ab, das Modell dazu zu bringen, eine spezifische falsche Antwort zu geben. Ein Beispiel wäre, ein Bild so zu manipulieren, dass es fälschlicherweise als etwas völlig anderes erkannt wird.
4. Non-targeted Attacks: Das Ziel dieser Angriffe ist es, dass das Modell irgendeine falsche Antwort gibt, ohne eine spezifische Fehlklassifikation zu erreichen.
Die Erstellung von adversarial examples kann durch verschiedene Techniken erfolgen, die auf der Manipulation der Eingabedaten basieren:
1. Fast Gradient Sign Method (FGSM): Diese Methode verwendet den Gradienten des Verlustes bezüglich der Eingabedaten, um diese so zu verändern, dass der Verlust maximiert wird. Dies führt zu einer Eingabe, die wahrscheinlich falsch klassifiziert wird.
2. Jacobian-based Saliency Map Attack (JSMA): JSMA konzentriert sich darauf, die Komponenten einer Eingabe zu verändern, die den größten Einfluss auf die Ausgabe des Modells haben, basierend auf der Jacobian-Matrix der Ausgaben bezüglich der Eingaben.
3. DeepFool: Diese Methode iteriert über die Eingabe, um die kleinste Störung zu finden, die notwendig ist, um die Klassifizierungsgrenze zu überschreiten und eine Fehlklassifikation zu erzeugen.
4. Carlini & Wagner Attack (C&W): Diese Technik ist eine Optimierungsbasierte Methode, die darauf abzielt, den Eingaberaum effizient zu durchsuchen, um hochwirksame adversarial examples zu erzeugen.
Um Modelle gegen solche Angriffe zu verteidigen, gibt es mehrere Ansätze:
1. Adversarial Training: Einschließen von adversarial examples im Trainingsprozess, um die Robustheit des Modells zu erhöhen.
2. Defensive Distillation: Eine Technik, bei der das Modell trainiert wird, die Wahrscheinlichkeiten der Klassenzugehörigkeit zu glätten, um die Effektivität von Angriffen zu reduzieren.
3. Feature Squeezing: Reduzierung der Farbtiefe der Eingaben oder Anwendung anderer Transformationen, um die für Angriffe verfügbaren Manipulationsmöglichkeiten zu verringern.
Adversarial Attacks stellen eine bedeutende Herausforderung für die Sicherheit von KI-Systemen dar, besonders in Bereichen, in denen Fehlentscheidungen schwerwiegende Folgen haben können. Die Entwicklung effektiver Verteidigungsmechanismen ist daher ein aktives und wichtiges Forschungsfeld in der KI-Sicherheit.
.png)