Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Kunstig intelligens og maskinlæring er kommet for at blive.
Men der er stadig lang vej, før virksomheder kan begynde at anvende de teknologier, man ser i sci-fi-film.
Inden udviklingen kommer så langt, skal der være styr på en række basale sårbarheder i de eksisterende maskinlæringsmodeller, der skal danne fundament for fremtidens kunstige intelligens.
Hvis udviklingen skal accelerere hen mod en verden, hvor kunstig intelligens bliver brugt til hverdag, er der nogle sårbarheder, som er vigtige at adressere – og de mest udbredte omhandler selve algoritmerne.
Algoritmer, som udgør grundstenen i alle maskinlæringsmodeller, er ikke udviklet uden fejl.
Det er for eksempel ikke muligt for en sådan model at kende forskel på en person, der blot opholder sig uskyldigt i nærheden af en bil og en person, som opholder sig i nærheden af samme bil med hensigten at stjæle den.
Modellen kan registrere den tid, personen opholder sig inden for en bestemt ”mistænkelig zone” ift. bilen, men ikke hvad der ligger til grund for handlingen.
Dermed kan man risikere, at personer fejlagtigt bliver identificeret som potentielle kriminelle, selvom selve modellen ikke fejler noget.
Det kan medføre en større skepsis i forhold til maskinlæringens pålidelighed, trods formålet om at forenkle og klassificere komplicerede data.
Derfor er det vigtigt at være bevidst om, hvilke typer af bias, der kan være indlejret i modellerne via de data, den er trænet med.
Særligt historiske data kan være kontamineret af for eksempel subjektive værdier.
Er det tilfældet, vil de objektive resultater, som modellerne er designet til at generere, i virkeligheden afspejle subjektive holdninger, motivationer og følelser.
Og hvis disse såkaldte ”objektive” data danner beslutningsgrundlag for for eksempel socioøkonomiske beslutninger, kan skævvridningen få store konsekvenser. Det er en udfordring, som især udviklere og analytikere er nødt til at forholde sig til.
It-kriminelle angriber maskinlæring
De seneste år er maskinlæringsalgoritmer blevet et populært mål for hackere, der eksempelvis´ønsker at påvirke den offentlige debat eller holdning.
Det gjorde sig blandt andet gældende ved Brexit, hvor sociale medier blev bombarderet med misinformationskampagner og falske profiler, som spredte denne misinformation.
Det medførte, at algoritmerne verificerede misinformationen.
Denne type angreb var blandt andet meget populære på Twitter, hvor undersøgelser siden har vist, at misinformation har 70 procent større sandsynlighed for at blive delt sammenlignet med rigtige nyheder.
Senest er maskinlæringsmodeller blevet brugt til russisk propaganda i krigen mod Ukraine, hvor deepfake videoer af henholdsvis den ukrainske og russiske præsident også er blevet delt på Twitter for at sprede misinformation og påvirke holdninger.
Angreb på maskinlæringsmodeller kan deles op i to typiske angrebsmetoder: white box-angreb og black box-angreb.
Ved white box-angreb har de it-kriminelle direkte adgang til modellen, det vil sige adgang til kodningen og selve modellens opbygning.
I nogle tilfælde kan hackerne også have adgang til de datasæt, der bliver brugt til at træne modellen og kan derfor præge resultaterne, så de tilgodeser deres formål.
Black box-angreb forudsætter, i modsætning til white box-angreb, ikke, at it-kriminelle har oplysninger om målmodellens arkitektur eller datasæt.
I stedet fodrer hackerne modellen med input og observerer, hvordan modellen reagerer med henblik på at skabe en kopi af modellen.
De it-kriminelle kan nu udføre white box-angreb på kopimodellen for at identificere de sårbarheder, de derefter kan udnytte mod den oprindelige model.
Sådan kan virksomheder forsvare sig mod angreb
Det er svært at forsvare sig mod angreb på maskinlæringsmodeller, da it-kriminelle har mange muligheder for at påvirke modellerne til at producere forkerte konklusioner.
Heldigvis er der nogle generelle råd for forebyggelse af angreb mod modeller, der regelmæssigt bliver trænet med data fra eksterne kilder og som vi anbefaler alle virksomheder, der arbejder med maskinlæring, at følge:
- Sørg for, at en lille gruppe af enheder, herunder ip-adresser eller brugere, ikke kan udgøre en stor del af modellernes datasæt til træning.
- Indfør mekanismer, der forhindrer høj vægtning af falske resultater, som rapporteres af brugere.
- Begræns mængden af input, hver bruger kan bidrage med.
- Brems potentielle angreb eller mistænkelig aktivitet via eksempelvis adgangstjenesten CAPTCHA.
- Giv højere vægt til registrerede brugere eller brugere med høj troværdighed.
- Beregn validitetsscore for registrerede konti på grundlag af relevante målinger, såsom aktivitetsmønstre, forbundne ip-adresser og adfærd.
Det er en positiv udvikling, for det øger effektiviteten markant.
Desværre følger sikkerheden og validiteten ikke altid med disse modeller. Mange virksomheder har svært ved at gennemskue, hvad der er op og ned i AI-verdenen, mens andre har travlt med at implementere kunstig intelligens.
Uanset hvad er virksomhederne nødt til at have bedre styr på sårbarhederne, inden de tager de næste skridt.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.