2.2.3. Ellenséges példák (Adversarial Examples)

2025.10.06.
AI Biztonság Blog

Képzelj el egy csúcskategóriás képfelismerő modellt, amely 99.9%-os pontossággal azonosít tárgyakat. Mutatsz neki egy képet egy kockacukorról, és magabiztosan közli: „kockacukor”. Most vegyük ezt a képet, és adjunk hozzá egy speciálisan kiszámított, emberi szem számára teljesen észrevehetetlen „zajt”. Az eredmény egy kép, ami a te szemedben továbbra is egyértelműen egy kockacukor. A modell számára azonban ez már egy „dobókocka”, ráadásul ugyanolyan elsöprő, 99%-os magabiztossággal.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Ez nem elméleti probléma, hanem az ellenséges példák (adversarial examples) valósága. Ezek olyan, szándékosan manipulált bemeneti adatok, amelyek célja, hogy a gépi tanulási modellt előre meghatározott, hibás kimenetre kényszerítsék, miközben az emberi érzékelés számára a változás minimális vagy teljesen láthatatlan marad. Míg az adatmérgezés a tanítási fázist, a modell inverzió pedig az adatszivárgást célozza, az ellenséges példák a modell inferencia (következtetési) fázisát támadják – azt a pillanatot, amikor a már betanított modellnek egy új adaton kell dolgoznia.

Miért működik? A modell „vaksága”

Felmerül a kérdés: hogyan lehetséges, hogy egy ennyire apró, láthatatlan változtatás ilyen drámai hatást vált ki? A válasz a gépi tanulási modellek működésének alapjaiban rejlik. Ellentétben az emberrel, aki holisztikusan, kontextusban értelmez egy képet, a neurális hálók magas dimenziós matematikai függvényeket tanulnak meg, amelyek a bemeneti pixeleket a kimeneti osztályokhoz rendelik.

Ezek a modellek döntési határokat (decision boundaries) húznak a különböző kategóriák között ebben a sokdimenziós térben. Egy ellenséges példa lényegében egy olyan pont ebben a térben, amely perceptuálisan nagyon közel van az eredeti adathoz (a kockacukor képéhez), de matematikailag éppen átlépett egy döntési határon, és a „dobókocka” kategóriába eső régióba került. A támadás lényege, hogy megtaláljuk a legrövidebb utat ehhez a határhoz és átlépjük azt a lehető legkisebb, legkevésbé feltűnő módosítással.

Az ellenséges példa anatómiája: Hogyan készül?

Egy ellenséges példa létrehozása egy célzott, számításigényes folyamat, amely a modell belső működését használja ki önmaga ellen. A folyamat általában a következő lépésekből áll:

  1. Kiindulási pont: Veszünk egy tiszta, helyesen osztályozott bemenetet (pl. egy képet, hangfájlt). Legyen ez az `eredeti_kep`.
  2. Cél meghatározása: Eldöntjük, hogy a támadás célzott (targeted) vagy nem célzott (untargeted) lesz-e.
    • Nem célzott: A cél, hogy a modell bármilyen hibás kategóriába sorolja a képet, csak ne a helyesbe.
    • Célzott: A cél, hogy a modell egy konkrét, általunk választott hibás kategóriába sorolja (pl. a pandát gibbonnak nézze).
  3. A perturbáció kiszámítása: Ez a támadás magja. A leggyakoribb módszerek a modell gradienseit használják. A gradiens leegyszerűsítve megmutatja, hogy a bemeneti adatok (pl. pixelek) apró változtatásai hogyan befolyásolják a kimeneti valószínűségeket. A támadó kiszámítja azt a gradienst, amely a leggyorsabban növeli a hibát (loss), majd ebbe az irányba mozdítja el a bemeneti képet egy nagyon kicsi lépéssel.
  4. Alkalmazás: A kiszámított, apró zajt (perturbációt) hozzáadjuk az `eredeti_kep`-hez, létrehozva az `ellenseges_kep`-et. A zaj mértékét (epsilon) úgy korlátozzuk, hogy a változás vizuálisan ne legyen érzékelhető.

Kockacukor (Eredeti kép) AI Modell Osztály: Kockacukor Magabiztosság: 99% Zaj (Perturbáció) + = Dobókocka (Manipulált) Osztály: Gibbon Magabiztosság: 99%

Támadási forgatókönyvek: Fekete és fehér dobozok

Az ellenséges támadásokat aszerint is osztályozhatjuk, hogy a támadó mennyi információval rendelkezik a célba vett modellről. Ez a Red Teaming szempontjából kulcsfontosságú megkülönböztetés.

White-box (fehér doboz) támadások

Ebben az ideális esetben a támadó teljes hozzáféréssel bír a modellhez:

  • Ismeri a modell architektúráját (pl. rétegek száma, típusa).
  • Ismeri a modell paramétereit (súlyait).
  • Közvetlenül le tudja kérdezni a modell belső állapotait, például a gradienseket.

Ez a forgatókönyv teszi lehetővé a leghatékonyabb támadásokat, mint például a fentebb vázolt gradiens-alapú módszereket (pl. Fast Gradient Sign Method – FGSM). 

Bár a valóságban ritkán van teljes hozzáférésünk egy éles rendszerhez, ez a modell elengedhetetlen a sebezhetőségek mély megértéséhez és a védelmi stratégiák teszteléséhez.


# Pszeudokód az FGSM (Fast Gradient Sign Method) támadásra
# Ez egy klasszikus white-box módszer

def fgsm_attack(kep, epsilon, adat_grad):
 # Kinyerjük a gradiens előjelét
 # Ez mutatja az irányt, amerre a hiba a leggyorsabban nő
 elojel_grad = adat_grad.sign()

 # Létrehozzuk a manipulált képet
 # Az eredeti kép minden pixelét elmozdítjuk a gradiens irányába
 # Az 'epsilon' szabályozza a zaj mértékét
 ellenseges_kep = kep + epsilon * elojel_grad
 
 # Biztosítjuk, hogy a pixelértékek a [0,1] tartományban maradjanak
 ellenseges_kep = torch.clamp(ellenseges_kep, 0, 1)
 
 return ellenseges_kep

Black-box (fekete doboz) támadások

Ez a realisztikusabb forgatókönyv. A támadó csak a modell bemenetét és kimenetét látja (pl. egy API-n keresztül), de semmit sem tud a belső felépítéséről.

  • Lekérdezés-alapú támadások: A támadó sokszor lekérdezi a modellt különböző, apró módosításokkal ellátott bemenetekkel, és a válaszokból próbálja megbecsülni a döntési határok helyzetét. Ez lassú és költséges lehet.
  • Transzfer támadások (Transferability): Ez a legérdekesebb jelenség. Kiderült, hogy egy modellre (pl. ResNet50) generált ellenséges példa nagy valószínűséggel egy teljesen másik, hasonló feladatra tanított modellt (pl. VGG16) is képes megtéveszteni, még ha az architektúrájuk teljesen eltérő is. A támadó tehát létrehozhat egy saját, helyi „pótlólagos” modellt, arra generál ellenséges példákat, és ezeket használja a célpont fekete doboz modell ellen.

Gyakorlati jelentőség az AI Red Teamingben

Az ellenséges példák messze túlmutatnak az akadémiai érdekességen. Egy AI Red Team számára ez egy rendkívül erős eszköz a rendszerek robusztusságának tesztelésére. 

Egy arcfelismerő rendszert egy speciális mintázatú szemüveggel kijátszani komoly biztonsági rés. Egy malware-detektort néhány bájt módosításával átverni lehetővé teszi a rosszindulatú kód terjedését.

Ezek a támadások rávilágítanak a mélytanuló modellek egyik alapvető gyengeségére: a statisztikai mintázatok felismerése nem egyenlő a valódi, emberi szintű megértéssel. A mi feladatunk az, hogy feltárjuk ezeket a „vakterületeket”, és számszerűsítsük a kockázatot, mielőtt egy valódi támadó használná ki őket.

2.2.2 Modell inverzió támadások (Model Inversion)

2025.10.06.

2.2.4. Hátsó ajtó támadások (Backdoor)

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit