【财新网】“大规模数据集的投毒攻击,确实是可以在现实中实施的威胁,它能够对我们现在使用的模型产生重大的影响。”在7月7日于上海举办的世界人工智能大会人工智能风险与安全分论坛上,谷歌DeepMind研究科学家尼古拉斯·卡里尼(Nicholas Carlini)提醒大家,一些科学家们只用于学术层面上测试的安全攻击,已经成为了实际环境中的现实威胁。
数据投毒是一种经典的攻击形式,攻击者将少量中毒样本添加到模型的训练数据集,使得模型在训练过程中“中毒”,破坏模型的可用性或完整性。卡里尼提出,当前机器学习界的一个很大问题是,机器学习研究通常只关注攻击的潜在影响,而不是它在实际应用中的可能性。因此,研究者更多在关心对手能够实现的最终目标,而不是对手如何真正实现这一目标。“我们以前认为这些攻击可能只是研究人员喜欢玩的学术恶作剧,但机器学习界真的需要关注所有这些安全攻击,并尝试理解什么是真正可以在实践中实施的实际威胁。”