Nhiều ứng dụng trên điện thoại thông minh, chẳng hạn như chương trình chuyển lời nói thành văn bản và trợ lý Google, vận hành nhờ nền tảng trí tuệ nhân tạo (AI).

Các công ty cũng dùng AI để cải thiện chiến lược tiếp thị, giới thiệu sản phẩm và dịch vụ cho người dùng, hoặc thậm chí bệnh viện cũng sử dụng AI để đưa ra dự đoán về những rủi ro sức khỏe có thể xảy ra cho bệnh nhân.

Giáo sư Reza Shokri và nhóm của ông đã mất ba năm để phát triển công cụ đo quyền riêng tư của Máy học.

Để các hệ thống AI có thể cung cấp thông tin chi tiết như vậy, chúng ta phải đào tạo AI bằng các dữ liệu liên quan như thói quen mua hàng hoặc hồ sơ y tế của một người, những dữ liệu này có thể chứa thông tin nhạy cảm về một cá nhân. Khi ‘khóa đào tạo’ mô hình AI kết thúc, nó không được lưu giữ lại bất kỳ dữ liệu đào tạo ban đầu nào để đảm bảo ngay cả khi tin tặc xâm nhập cũng không thể thu thập được bất kỳ thông tin nhạy cảm nào.

Trong những năm gần đây, các nhà nghiên cứu bảo mật và quyền riêng tư đã chỉ ra tin tặc có thể tấn công suy luận mô hình AI, qua đó trích xuất thông tin nhạy cảm trong dữ liệu đào tạo. Tin tặc liên tục yêu cầu dịch vụ AI tạo thông tin, sau đó phân tích thông để tìm ra một mẫu hình. Khi đã xác định được mẫu hình, tin tặc có thể suy luận ra loại dữ liệu cụ thể đã sử dụng để đào tạo chương trình AI. Sử dụng các cuộc tấn công kiểu này, tin tặc thậm chí có thể xây dựng lại tập dữ liệu ban đầu mà rất có thể đó là tập dữ liệu dùng để đào tạo AI.

Các cuộc tấn công như vậy đang trở thành mối lo ngại của nhiều tổ chức trên toàn cầu. Ví dụ, vào năm 2009, đã có các cuộc tấn công tương tự nhằm vào Viện Y tế Quốc gia (NIH) ở Hoa Kỳ và NIH đã phải thay đổi chính sách truy cập với dữ liệu y tế nhạy cảm. “Các cuộc tấn công suy luận rất khó phát hiện vì hệ thống chỉ coi hacker là người dùng thông thường đang yêu cầu cung cấp thông tin. Như vậy, các công ty hiện không có cách nào để biết liệu các dịch vụ AI của họ có gặp rủi ro hay không vì hiện tại cũng không có công cụ hoàn thiện nào để chống lại kiểu tấn công này”, giáo sư Reza Shokri từ Đại học Quốc gia Singapore (NUS Computing) giải thích.

Để giải quyết vấn đề này, giáo sư Asst Shokri và nhóm của ông đã phát triển một công cụ mã nguồn mở có thể giúp các công ty xác định xem các dịch vụ AI của họ có dễ bị tấn công suy luận như vậy hay không. Công cụ đo quyền riêng tư của Máy học (ML Privacy Meter) giả lập tấn công suy luận, cuộc tấn công nhằm xác định xem một bản ghi dữ liệu cụ thể có phải là một phần của dữ liệu đào tạo mô hình hay không. Bằng cách mô phỏng các cuộc tấn công như vậy, công cụ có thể định lượng mức độ rò rỉ dữ liệu đào tạo của một mô hình AI, qua đó cho thấy nguy cơ xảy ra các cuộc tấn công khác nhau mà ở đó hacker sẽ cố gắng xây dựng lại toàn bộ hoặc một phần tập dữ liệu đào tạo. Cuối cùng, công cụ này sẽ chỉ ra các khu vực dễ bị tấn công trong bộ dữ liệu dùng để đào tạo.

Quá trình này có thể giúp các tổ chức xác định những điểm yếu trong tập dữ liệu của họ, từ đó gợi ý những kỹ thuật để hạn chế các cuộc tấn công suy luận.

“Khi xây dựng các hệ thống AI sử dụng dữ liệu nhạy cảm, các tổ chức nên đảm bảo rằng họ đã bảo vệ đầy đủ dữ liệu được xử lý trong các hệ thống đó. Công cụ của chúng tôi có thể giúp các tổ chức thực hiện phân tích hoặc kiểm tra rủi ro quyền riêng tư nội bộ trước khi triển khai hệ thống AI”, Shokri nói. “Ngoài ra, các quy định như ‘Quy định chung về bảo vệ dữ liệu’ cũng yêu cầu phải đánh giá rủi ro về quyền riêng tư đối với dữ liệu khi sử dụng máy học. Công cụ của chúng tôi có thể hỗ trợ các công ty tuân thủ quy định này”. □