Adversarial Machine Learning, il report del NIST
Il National Institute of Standards and Technology (NIST) ha pubblicato un nuovo report dal titolo “AI 100-2 E2023 – Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations”.
Il documento è dedicato al fenomeno dell’AML, citato come minaccia emergente anche nelle Linee Guida per lo sviluppo sicuro dei sistemi AI messe a punto dall’UK National Cyber Security Centre e dall’US Cybersecurity and Infrastructure Security Agency insieme a numerose Agenzie nazionali per la sicurezza informatica, tra cui l’italiana ACN.
Con questa intensa attività regolatoria, che ha visto anche il recente aggiornamento alla versione 2.0 del suo Cybersecurity Framework, l’agenzia statunitense sta tentando di ridefinire il quadro internazionale degli standard tecnologici alla luce dell’evoluzione dirompente a cui va soggetta la materia.
AI e AML: le definizioni
Il report del NIST afferma in via preliminare che ogni sistema AI “include – at a minimum – the data, model, and processes for training, testing, and deploying the machine learning (ML) models and the infrastructure required for using them”.
Per i concetti di “security, resilience, and robustness of ML systems” si rimanda invece alle definizioni già contenute nel NIST AI Risk Management Framework.
Su tale base di riferimento si specifica come gli ambienti AI/ML comportino, rispetto a quelli più tradizionali, ulteriori sfide in termini di sicurezza e protezione dati; includendo il rischio di “adversarial manipulation of training data, adversarial exploitation of model vulnerabilities to adversely affect the performance of the AI system, and even malicious manipulations, modifications or mere interaction with models to exfltrate sensitive information about people represented in the data, about the model itself, or proprietary enterprise data”.
L’AML viene pertanto definito come l’illecita manipolazione dei dati o dei modelli sottostanti ai sistemi basati su Machine Learning e Intelligenza Artificiale, al fine di esfiltrare informazioni sensibili relative a persone od organizzazioni.
Attacchi ai sistemi AI e buone pratiche di mitigazione
Ribadendo anzitutto la distinzione tra Predictive AI (PredAI) e Generative AI (GenAI), il NIST evidenzia che questa seconda “classe” d’Intelligenza Artificiale oggi permea tanto l’economia digitale quanto la vita quotidiana, particolarmente in conseguenza della diffusione di strumenti che impiegano Large Language Models (LLMs).
Dopo le citate premesse terminologiche il documento espone le principali metodologie di attacchi informatici contro tali sistemi, in cui sono state osservate frequenti violazioni della sicurezza “through the public APIs that expose the model, and against the platforms on which they are deployed”.
La “tassonomia” degli schemi di attacco è suddivisa come segue:
- “evasion, poisoning, and privacy attacks for PredAI systems,
- evasion, poisoning, privacy, and abuse attacks for GenAI systems,
- attacks against all viable learning methods (e.g., supervised, unsupervised, semi-supervised, federated learning, reinforcement learning) across multiple data modalities”, comprensivi degli attacchi rivolti all’AI Supply Chain.
All’analisi di ciascun gruppo di attacchi segue la sintesi delle possibili azioni di mitigazione – che spaziano dall’Adversarial training a nuovi paradigmi, quale la Differential Privacy (DP) – sempre accompagnate dalla precisazione per cui, trattandosi di un campo in rapidissima espansione, nessuna soluzione sia da ritenersi stabile o definitiva.
Il report termina con un Glossario che fornisce definizioni aggiornate delle parole chiave più comuni, al fine di contribuire a diffondere “common language and understanding for the rapidly developing AML landscape”.
A cura della Redazione
