為了協助開發人工智慧 導向的安全服務與系統，歐 洲電信標準協會(European Telecommunications
如圖1所示，ETSI ISG SAI GR-004報告中記錄了一個機器學 習的生命週期。針對機器學習的實 施與部署，積極研究其安全影響。 報告中並辨識了四種攻擊類型的 特性，以提高人們對潛在安全威 脅的了解。
圖1:典型的機器學習生命週期，ETSI SAI GR-004。
(來源:ETSI)
為了緩解這種攻擊，資料品質 是關鍵。如圖2所示(來自ETSI ISG SAI GR-005報告)，針對中毒攻擊
此外，在ETSI ISG SAI GR- 005報告中則分析與總結目前
COVER STORY
 人工智慧(Artificial Intelligence;AI)的發展促進了各種自 動化服務與自主系統;同時，瞄準人工智慧而來的安全威脅 也在迅速發展中。
的 緩 解 措 施。根 據 所 部 署 的 緩 解措施是否已修正經處理的人 工 智 慧 模 型，區 分 為 模 型 增 強 (model enhancement)與模型 中立(model-agnostic)。因此， 服務開發人員或系統部署人員可 以根據具體應用情況來定義所需 的緩解策略。
中毒攻擊
為了因應安全的挑戰，企業 組織開始導入AI作為防護利器， 包括對於網路攻擊的偵察、預測 以及加以反應。然而，人工智慧本 身的一些資產就可能是安全威脅 的目標，如模型、資料處理、管理 策略、網路或機器學習(machine learning;ML)平台等，因此在導 入人工智慧時必須更小心謹慎。 儘管保護演算法和敏感資料成為 運用人工智慧技術的關鍵，但從另 一方面來看，這樣的AI技術也可能 開啟安全的破口。
Standards Institute;ETSI) 人工智慧安全產業規範小組 (Industry Specification Group on Securing Artificial Intelligence;ISG SAI)分析了人 工智慧的安全問題及其相應的緩 解措施，並為此發佈了兩份小組 報告。
一種特定的辨識攻擊類型 稱為「中毒攻擊」(poisoning attack)，利用訓練資料以降低人 工智慧導向的服務性能。此外，這 種攻擊可能降低系統的整體性能， 或者允許某些預期的錯誤分類。 中毒攻擊的歷史可以追溯到早期 垃圾郵件的過濾服務。支援人工 智慧的反垃圾郵件(ani-spam)過 濾器程式持續地從電子郵件收件 人的反應中學習，讓過濾功能更 為完善。電子郵件收件人可以將 一般電子郵件標記為垃圾郵件， 或是將錯誤分類的垃圾郵件恢復 為一般郵件。
 攻擊者可能修改電子郵件內 容以開發其學習過程。例如，仔 細地在垃圾郵件中加入一些精心 製作的內容，可能誤導反垃圾郵 件過濾器程式將這些正常內容誤 解為潛在垃圾郵件。然後，帶有 精心製作內容的電子郵件可能被 歸類為垃圾郵件。其過濾性能將 會逐漸退化，導致用戶無法使用 反垃圾郵件的過濾服務。
www.edntaiwan.com 17