Tekoälykin voi haavoittua eikä täydellistä tekoälysovellusta ole

Tekoälyä pyritään hyödyntämään miltei jokaisella elämän- ja teollisuudenalalla. Vaikka tekoäly tuo uusia mahdollisuuksia monille aloille, se luo myös mahdollisuuksia väärinkäytöksille. On hyvä tiedostaa, että erilaiset pahantahtoiset toimijat voivat halutessaan pyrkiä hyökkäämään tekoälyä vastaan ja saada se toimimaan omien tarkoitusperiensä mukaisesti. Tätä puolta tekoälystä tulisi tutkia entistä enemmän etukäteen, jotta ongelmilta vältytään.

Yksi ja ehkä yksinkertaisin tapa hyökätä tekoälyä vastaan on ajatella se aivan tavallisena ohjelmistona, josta voidaan löytää heikkouksia eli bugeja. Näitä hyödyntämällä voidaan toteuttaa aivan samanlaisia tietomurtoja ja muita kyberhyökkäyksiä kuin muiden, ”tavallisten” ohjelmistojen bugien kautta. Tämä on kuitenkin vain yksi tapa pyrkiä hyökkäämään tekoälyä vastaan.

Tunnistustekniikat sekaisin

Tekoälyllä on omat erityispiirteensä, jotka mahdollistavat myös toisenlaiset hyökkäykset näitä järjestelmiä vastaan. Koska tekoäly pyrkii yleensä jonkinlaiseen tunnistamiseen ja tähän perustuvaan päätöksentekoon, hyökkääjällä voi olla intressinä harhauttaa tekoälyä. Erityisesti hahmontunnistuksen ja kasvojentunnistuksen alueella tähän ongelmaan on törmätty. Viime vuonna julkistettiin tulos, jossa Googlen tekoälyalgoritmi harhautettiin luokittelemaan kilpikonna aseeksi[1]. Kasvojentunnistusta vastaan puolestaan on kehitetty meikkejä ja hiustyylejä, jotka harhauttavat kasvojentunnistusalgoritmeja[2].

Luonnollisesti myös ihmiset tekevät virheitä tunnistaessaan esineitä tai kasvoja, mutta tekoälyn tunnistus perustuu hyvin erilaisiin menetelmiin. Näin ollen tekoälyn tekemät virheet näyttävät ihmisistä käsittämättömiltä, sillä osaahan pieni lapsikin jo erottaa vaikkapa kilpikonnan ja aseen toisistaan, eivätkä nuo hämäysmenetelmät toimi ihmisiä vastaan. Automatisoidussa ympäristössä, jossa tekoäly tekee päätökset, tällaiset hämäyksen menevät läpi ja voivat auttaa hyökkääjää.

Opetusaineiston peukalointi

Tekoälyä vastaan voidaan hyökätä myös muilla tavoin kuin huijaamalla. Suurin osa tekoälymenetelmistä vaatii opetusvaiheen, jossa menetelmä pyrkii oppimaan halutun tehtävän mahdollisimman hyvin, esimerkiksi tunnistamaan kuvasta kissan. Erilaisia tapoja on useita, mutta mitä tapahtuu, jos hyökkääjä pääsee käsiksi opetusaineistoon ja muokkaa sitä itselleen edulliseksi tai muuten epätarkoituksenmukaiseksi. Yksi esimerkki tämän tyyppisestä hyökkäyksestä nähtiin muutama vuosi sitten, kun Microsoft julkaisi Tay-nimisen tekoälybotin Twitter palvelussa[3]. Koska Tay oppi keskusteluista ja kanssakeskustelijat tarkoituksella esittivät törkeitä, rasistisia ja naisvihamielisiä ajatuksia, myös Tay rupesi tuottamaan vastaavaa tekstiä. Luonnollisesti ovela hyökkääjä voi yrittää muuttaa tekoälyn opetusmateriaalia vain vähän ja mahdollisimman huomaamattomasti, mutta kuitenkin niin, että saa haluamansa edun, kun tekoäly lopulta otetaan käyttöön.

Opetusaineistoon liittyy myös toisenlainen uhkakuva. Yleensä ajatellaan, että opetusvaiheen jälkeen tekoäly ei itsessään enää pidä sisällään yksittäisiä opetusaineiston osasia. Tämä on tärkeää yksityisyyden suojan kannalta esimerkiksi lääketieteen sovelluksissa, jossa tekoälyä opetetaan vaikkapa useiden yksilöllisten potilastietojen perusteella. Kuitenkin on esitetty menetelmiä, joilla algoritmista voidaan saada ulos myös tätä mahdollisesti arkaluonteista opetusdataa[4].

Tekoälysovellusten tietoturva otettava huomioon

Tekoäly avaa hyötyjen lisäksi myös uuden portin hyökkääjille, kuten edellä esitetyt esimerkit jo osoittavat. Onkin hyvä miettiä etukäteen, miten oman tekoälyjärjestelmänsä suojaa erilaisia hyökkäyksiä vastaan. Aivan kuten tekoälyn hyödyistä, myös näistä hyökkäyksistä on nähty vasta jäävuoren huippu ja tulevaisuus tuo mukanaan uusia, arvaamattomia kehityskulkuja.

Tekoälysovellusten kehittäjien tulisikin huolehtia sovellustensa turvallisuudesta mahdollisimman hyvin suunnittelemalla, toteuttamalla ja testaamalla sovelluksiaan myös tietoturvanäkökulmasta. Lisäksi tekoälyn hyödyntäjien kannattaa miettiä, minkälaisia väärinkäytöksiä erilaiset toimijat voisivat suunnata järjestelmää vastaan ja minkälaista etua he voivat saada väärinkäytöksillään. Näiden perusteella voi suunnitella kontrolleja, joilla väärinkäytökset voidaan havaita ja ehkäistä.

[1] https://www.theverge.com/2017/11/2/16597276/google-ai-image-attacks-adversarial-turtle-rifle-3d-printed
[2] https://cvdazzle.com/
[3] https://www.theverge.com/2016/3/24/11297050/tay-microsoft-chatbot-racist
[4] https://arxiv.org/pdf/1709.07886.pdf

Kimmo Halunen_DSC7682
Kimmo Halunen
Senior Scientist, VTT:n kyberturvallisuustiimi
kimmo.halunen(a)vtt.fi
@khalunen

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: