FGSM Támadások Kivédése: Gyakorlati útmutató MI-fejlesztőknek!

2025.10.17.
AI Biztonság Blog

Képzeld el a jelenetet. Hónapokig dolgoztál a legújabb képfelismerő modelleden. A teszt adatokon 99.7%-os pontosságot érsz el. Magabiztos vagy. Elindítod élesben. Minden tökéletesen működik, a metrikák az egekben. Aztán egy nap kapsz egy hibajegyet. Egy felhasználó feltöltött egy képet egy pandáról, a modelled pedig 99%-os bizonyossággal rávágta, hogy az egy gibbon.

Nevetséges, igaz? Egyértelmű hiba. Megnézed a képet. Tényleg egy panda. Semmi különös. Talán csak egyedi eset. De aztán jön még egy hibajegy. Egy stoptáblát zebrának néz a rendszer. Egy macskát guacamolénak. Valami nagyon, de nagyon nincs rendben.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Üdv a klubban. Épp most találkoztál az első adversarial példáddal.

Ezek nem véletlen hibák. Ezek szándékos, precízen megtervezett támadások, amelyek a modelljeid legmélyebb, legrejtettebb sebezhetőségeit használják ki. Olyan apró, emberi szemmel szinte láthatatlan módosítások a bemeneti adatokon, amelyek totális káoszt okoznak a modell logikájában. És a legrosszabb? A legegyszerűbb ilyen támadások, mint a Fast Gradient Sign Method (FGSM), nevetségesen könnyen implementálhatók.

És a te modelled? Tesztelted már igazán alattomos bemenetekkel? Vagy csak a steril, szépen előkészített tesztadatbázisban bízol?

Mi a fene az az FGSM? A 60 másodperces magyarázat

Mielőtt pánikba esnél és kihúznál minden kábelt a szerverteremből, vegyünk egy mély levegőt. Az FGSM nem fekete mágia, hanem kőkemény matematika. De a jó hír az, hogy a koncepciót megérteni sokkal egyszerűbb, mint gondolnád.

Gondolj a neurális hálódra úgy, mint egy rendkívül komplex, de végső soron egy matematikai függvényre. Bemenetet kap (egy kép pixeljei), és kimenetet ad (címkék valószínűségei, pl. „panda: 98%”). A „tanulás” során a modell egyetlen dolgot csinál: finomhangolja a belső paramétereit, hogy minimalizálja a hibát (ezt hívjuk loss function-nek, vagyis veszteségfüggvénynek). Minél alacsonyabb a veszteség, annál pontosabb a modell.

A támadó célja pont az ellenkezője. Ő maximalizálni akarja ezt a veszteséget. Hogyan? Úgy, hogy megkeresi azt az irányt, amerre a leggyorsabban nő a hiba.

Itt jön a képbe a gradiens (gradient). A gradiens lényegében egy térkép, ami minden egyes bemeneti pixelhez megmutatja, hogy annak értékét hogyan kellene megváltoztatni ahhoz, hogy a hiba a lehető legnagyobbra nőjön. Olyan, mintha egy hegyen állnál, és a gradiens megmutatná a legmeredekebb utat felfelé, a csúcs felé – ahol a „csúcs” a maximális tévedés.

Az FGSM (Fast Gradient Sign Method) pofonegyszerű dolgot tesz:

  1. Kiszámolja a gradiensét a veszteségfüggvénynek a bemeneti képre vonatkozóan.
  2. Nem a gradiens pontos értékével foglalkozik, csak az előjelével (sign). Minden pixelre megnézi, hogy a hibát növelni vagy csökkenteni kell-e az értékén. Ez a „Fast” rész a nevében – a sign() művelet rendkívül olcsó.
  3. Vesz egy apró számot, az epszilont (ε), ami a támadás „erősségét” szabályozza.
  4. Az eredeti kép minden pixeléhez hozzáadja (vagy kivonja belőle) ezt az epszilont, a gradiens előjelének megfelelően.

Az eredmény egy új kép, ami szinte megkülönböztethetetlen az eredetitől, de a modell számára már egy teljesen más valóságot képvisel. A pandából gibbon lesz.

Aranyköpés: Az FGSM nem találgat. A modelled saját logikáját, a saját „tudását” fordítja önmaga ellen. A gradiens a modell Achilles-sarka, az FGSM pedig a nyíl, ami pontosan oda céloz.

Itt egy vizuális magyarázat. Képzeld el, hogy a modell döntési felülete egy völgy, ahol a völgy alja a helyes „panda” klasszifikáció. Az eredeti képünk (kék pont) ott van, ahol lennie kell. Az FGSM kiszámolja a legmeredekebb utat felfelé a hegyoldalon (a gradiens iránya), és egy kis lépést tesz (ε) ebbe az irányba. Az új, módosított kép (piros pont) már a hegy másik oldalán van, a „gibbon” völgyben.

„Panda” völgy „Gibbon” völgy Döntési határ Eredeti kép (x) ∇J (Gradiens) (Út a nagyobb hiba felé) Módosított kép (x’) Lépés: ε * sign(∇J)

Miért működik? Az AI sebezhetőségének anatómiája

A leggyakoribb tévhit, hogy az adversarial támadások azért működnek, mert a neurális hálók annyira „komplexek” és „nemlineárisak”. Ez logikusan hangzik, de a valóság ennél sokkal prózaibb és egyben ijesztőbb.

Ian Goodfellow (az FGSM atyja) és kollégái rámutattak, hogy a probléma gyökere pont az ellenkezője: a magas dimenziós linearitás. A modern neurális hálók rengeteg olyan réteget használnak (mint a ReLU), amelyek nagyrészt lineárisan viselkednek. Egyenként ezek a lineáris viselkedések ártalmatlanok. De ha több millió van belőlük…

Képzelj el egy stadiont, tele százezer emberrel. Ha egyetlen ember tesz egy lépést jobbra, az senkinek sem tűnik fel. A tömeg pozíciója lényegében nem változik. De mi történik, ha minden egyes ember tesz egyetlen, apró, 10 centiméteres lépést jobbra? A tömeg egésze elmozdul 10 centiméterrel, ami már egy észrevehető változás. Ha pedig mindenki egyszerre tesz egy méteres lépést, az már egy kisebb népvándorlás.

A bemeneti kép pixelei az emberek a stadionban. A kép dimenziója a stadion mérete. Egy 224×224-es színes képnek több mint 150 000 dimenziója van (224 224 3). Az FGSM támadás az a parancs, ami azt súgja minden „embernek” (pixelnek), hogy tegyen egy apró lépést egy bizonyos irányba. Egyetlen pixel változása láthatatlan és hatástalan. De 150 000 pixel apró, összehangolt változása együttesen egy hatalmas lökést ad a modellnek, ami áttaszítja a döntési határon.

Aranyköpés: A modelled sebezhetősége nem egyetlen nagy hiba, hanem több ezer apró, lineáris közelítés összeadódó hatása. A támadó ezt a „sok lúd disznót győz” elvet használja ki ellened.

Ez a magas dimenziós térben rejlő „sérülékenység” az, ami miatt a támadások ennyire hatékonyak. A modell tökéletesen megtanulja a „panda” és a „gibbon” közötti különbséget a mi 3D-s valóságunkban, de a 150 000 dimenziós térben vannak olyan „rövidítések” és „titkos átjárók” a két kategória között, amikről mi nem is tudunk, de az FGSM könnyedén megtalálja őket.

🐼 Eredeti Kép (Sok pixel) ε*sign(∇J) FGSM Zaj (Apró, összehangolt módosítások) 🐼 Módosított Kép (Szemmel láthatatlan különbség) + = Predikció: Panda Predikció: Gibbon

A Védelmi Arzenál: Hogyan védekezzünk?

Rendben, a helyzet komoly. De nem reménytelen. Az elmúlt években a kutatók és a gyakorlati szakemberek egy egész arzenált fejlesztettek ki az ilyen támadások ellen. Nincs egyetlen, mindent megoldó csodafegyver. A legjobb védekezés a rétegzett, mélységi védelem (defense-in-depth), ahol több különböző technika erősíti egymást.

1. Adversarial Training (A spártai módszer)

Ez a leginkább bevált és legelterjedtebb védekezési forma. A logika egyszerű: ha a modelled fél a szellemektől, tanítsd meg harcolni a szellemek ellen.

Az adversarial training során a tanítási folyamatot egészíted ki. Minden egyes tanítási lépésben (vagy minden néhány lépésben) fogod az aktuális adatcsomagot (batch), és generálsz rá adversarial példákat – például FGSM segítségével. Ezután ezeket a „megmérgezett” képeket is odaadod a modellnek, de a helyes címkével. Lényegében azt mondod neki: „Nézd, ez a zajos, furcsa kép is egy panda. Tanuld meg, hogy ez is az.”

Ez arra kényszeríti a modellt, hogy ne csak a tiszta, tankönyvi példákat ismerje fel, hanem a zajos, megtévesztő variációkat is. A döntési felülete „kisimul”, a hegyoldalak lankásabbak lesznek, így egy apró lökés már nem lesz elég ahhoz, hogy a rossz kategóriába essen a bemenet.

Analógia: Olyan, mint egy bokszoló, aki nemcsak a bokszzsákon gyakorol, hanem egy profi sparring partnerrel is, aki szándékosan a gyenge pontjait támadja. A bokszoló megtanulja kivédeni ezeket az ütéseket, és sokkal robusztusabb harcossá válik.

Előnyök Hátrányok
Rendkívül hatékony: Ez az egyik legerősebb ismert védekezési módszer, különösen erősebb támadások (pl. PGD) ellen is. Számításigényes: A tanítási idő jelentősen megnő, mivel minden lépésben támadásokat kell generálni.
Proaktív: Nem utólag próbálja javítani a hibát, hanem a modell alapvető „gondolkodását” teszi ellenállóbbá. Pontosság-robusztusság dilemma: Néha a robusztusság növelése a „tiszta”, nem támadott adatokon való pontosság enyhe csökkenésével járhat.

2. Input Transformation (A kidobóember módszer)

Mi lenne, ha megpróbálnánk „megtisztítani” a bemenetet, még mielőtt az a modellhez érne? Ez az input transzformációk alapötlete. Az adversarial zaj egy nagyon precíz, gondosan kiszámított struktúra. Ha ezt a struktúrát egy kicsit is megzavarjuk, a hatása szertefoszlik.

Ez egy előfeldolgozási lépés, amit a bemeneti képen hajtunk végre inferencia (következtetés) során. Néhány népszerű technika:

  • JPEG tömörítés: A JPEG egy veszteséges tömörítési eljárás, ami pont azokat a magas frekvenciájú, finom részleteket dobja el, amikben az adversarial zaj gyakran megbújik.
  • Zaj hozzáadása (Noise Injection): Paradox módon, ha egy kis véletlenszerű zajt adunk a képhez, az „elnyomhatja” a gondosan megtervezett adversarial zajt.
  • Térbeli simítás (Spatial Smoothing): Egy enyhe blur vagy median filter alkalmazása szintén segíthet eltüntetni a finom, pixel-szintű anomáliákat.
  • Kép átméretezése és vágása (Resizing/Cropping): A kép lekicsinyítése, majd vissza-nagyítása szintén ronthatja a zaj struktúráját.

Analógia: Gondolj erre úgy, mint egy szórakozóhely kidobóemberére. Mielőtt beengedne a klubba (a modellbe), mindenkit megmotoz (átfuttatja a transzformáción). Ha valakinél gyanús tárgyat (adversarial zajt) talál, azt elveszi. Lehet, hogy közben a vendég kabátja kicsit meggyűrődik (a kép minősége enyhén romlik), de a bent lévő veszélyforrást eliminálta.

Figyelem: Ez a módszer hatékony lehet egyszerűbb támadások ellen, de egy elszánt támadó képes olyan zajt generálni, ami ezeket a transzformációkat is „túléli” (ezt hívják adaptív támadásnak). Ezért önmagában nem elég, de a rétegzett védelem első vonalaként kiváló.

3. Defensive Distillation (A sensei módszer)

Ez egy trükkösebb, de elegáns koncepció. Ahelyett, hogy közvetlenül a modellt edzenénk, egy kétlépcsős folyamatot alkalmazunk.

  1. Először tanítunk egy nagy „tanár” (teacher) modellt a normál adatokon.
  2. Ahelyett, hogy a „kemény” címkéket (pl. „ez 100% panda, 0% gibbon”) használnánk, a tanár modell által adott valószínűségi eloszlást, azaz a „puha” címkéket (pl. „ez 98% panda, 1.5% medve, 0.5% gibbon…”) használjuk fel.
  3. Ezután tanítunk egy második, „diák” (student) modellt (ami lehet ugyanolyan architektúrájú), de már ezekkel a puha címkékkel, mint tanítási cél.

Miért jó ez? A puha címkék sokkal több információt hordoznak a kategóriák közötti kapcsolatokról. A diák modell megtanulja a tanár „gondolkodásmódját”, nem csak a végeredményt. Ennek hatására a diák modell döntési felülete sokkal simább lesz, a gradiens értékei pedig kisebbek. Ha a gradiens kicsi, az FGSM (ami a gradiensre épül) sokkal nehezebben tud hatékony támadást indítani.

Analógia: Egy mester (tanár) nem csak azt mondja a tanítványának (diák), hogy „ez egy szék”. Elmagyarázza, hogy „ez 95%-ban egy szék, mert van háttámlája és négy lába, de van benne 5% hokedli-szerűség is, mert nincs karfája”. A diák sokkal mélyebben megérti a „székszerűség” koncepcióját, és nehezebb lesz egy „majdnem-székkel” becsapni.

Bár a kezdeti eredmények ígéretesek voltak, később kimutatták, hogy az erősebb, iteratív támadások ellen a defensive distillation kevésbé hatékony. Ennek ellenére érdekes koncepció, ami rávilágít a modell belső működésének fontosságára.

Itt egy áttekintés, hogyan épül fel egy rétegzett védelmi rendszer:

Bemenet (Potenciálisan támadott) 1. Védelmi Vonal Input Transzformáció (JPEG, Zaj, Simítás) 2. Védelmi Vonal Robusztus Modell (Adversarial Training) Megbízható Kimenet

A Gyakorlat: Kód és Valóság

Elméletből elég, lássuk a medvét (vagy a pandát). Nézzük meg, hogyan néz ki egy egyszerű FGSM támadás és egy adversarial training alapú védekezés a gyakorlatban, TensorFlow és Keras segítségével.

FGSM Támadás Implementálása

Először is, hozzunk létre egy egyszerű FGSM támadást egy előtanított MobileNetV2 modellen. A célunk, hogy egy képet úgy módosítsunk, hogy a modell félrekategorizálja.


import tensorflow as tf
import matplotlib.pyplot as plt
import numpy as np

# 1. Modell és kép betöltése
# Használjunk egy előtanított modellt az egyszerűség kedvéért
model = tf.keras.applications.MobileNetV2(weights="imagenet", include_top=True)
preprocess_input = tf.keras.applications.mobilenet_v2.preprocess_input
decode_predictions = tf.keras.applications.mobilenet_v2.decode_predictions

# Töltsünk be egy képet (pl. egy pandát ábrázolót)
image_path = tf.keras.utils.get_file(
    "panda.jpg", "https://storage.googleapis.com/download.tensorflow.org/example_images/panda.jpg"
)
image_raw = tf.io.read_file(image_path)
image = tf.image.decode_image(image_raw)
image = tf.image.resize(image, (224, 224))
image = tf.expand_dims(image, axis=0)
image = preprocess_input(image)

# Eredeti predikció
preds = model.predict(image)
print("Eredeti predikció:", decode_predictions(preds, top=1)[0])

# 2. Az FGSM támadás logikája
loss_object = tf.keras.losses.CategoricalCrossentropy()

def create_adversarial_pattern(input_image, input_label):
  with tf.GradientTape() as tape:
    tape.watch(input_image)
    prediction = model(input_image)
    loss = loss_object(input_label, prediction)

  # Gradiens kiszámítása
  gradient = tape.gradient(loss, input_image)
  # Előjel kinyerése
  signed_grad = tf.sign(gradient)
  return signed_grad

# Címke létrehozása a támadáshoz (a modell eredeti predikciója)
label_index = np.argmax(preds[0])
label = tf.one_hot(label_index, preds.shape[-1])
label = tf.reshape(label, (1, preds.shape[-1]))

perturbations = create_adversarial_pattern(image, label)

# 3. Adversarial kép létrehozása és tesztelése
# Az epszilon értékét kicsire választjuk
epsilon = 0.05
adversarial_image = image + epsilon * perturbations
# Biztosítjuk, hogy a pixel értékek a valid tartományban maradjanak
adversarial_image = tf.clip_by_value(adversarial_image, -1, 1)

# Új predikció a módosított képen
adv_preds = model.predict(adversarial_image)
print("Adversarial predikció:", decode_predictions(adv_preds, top=1)[0])

Ha lefuttatod ezt a kódot, látni fogod, hogy az eredeti képre a modell magabiztosan mondja, hogy „giant_panda”, míg a szinte azonosnak tűnő módosított képre valami teljesen mást, például „gibbon” vagy „indri” lesz a tippje. Mindössze néhány sor kóddal sikerült kijátszani egy csúcskategóriás modellt.

Egyszerű Adversarial Training

Most nézzük a védekezést. Nem fogunk egy teljes modellt betanítani nulláról, de megmutatom a logikát, hogyan illeszthető be az adversarial training egy tipikus Keras tanítási ciklusba.


# Tegyük fel, hogy van egy 'model'-ünk, egy 'optimizer'-ünk és egy 'loss_function'-ünk.
# 'x_train' és 'y_train' a tanító adataink.

# FGSM függvény, amit a tanítási ciklusban használunk
def fgsm_attack(model, image, label, epsilon=0.05):
    with tf.GradientTape() as tape:
        tape.watch(image)
        prediction = model(image)
        loss = loss_function(label, prediction)
    gradient = tape.gradient(loss, image)
    signed_grad = tf.sign(gradient)
    adversarial_image = image + epsilon * signed_grad
    adversarial_image = tf.clip_by_value(adversarial_image, 0, 1) # Normalizált képeknél
    return adversarial_image

# Egyéni tanítási lépés (custom training step)
@tf.function
def train_step(images, labels):
    # 1. Adversarial példák generálása az aktuális batch-re
    adv_images = fgsm_attack(model, images, labels, epsilon=0.05)
    
    # 2. Az eredeti és az adversarial képeket összefűzzük
    combined_images = tf.concat([images, adv_images], axis=0)
    combined_labels = tf.concat([labels, labels], axis=0) # A címkék ugyanazok!
    
    # 3. Tanítás a kombinált adatokon
    with tf.GradientTape() as tape:
        predictions = model(combined_images)
        loss = loss_function(combined_labels, predictions)
    
    gradients = tape.gradient(loss, model.trainable_variables)
    optimizer.apply_gradients(zip(gradients, model.trainable_variables))
    return loss

# A tanítási ciklus
epochs = 10
for epoch in range(epochs):
    print(f"Epoch {epoch+1}")
    for step, (x_batch_train, y_batch_train) in enumerate(train_dataset):
        loss = train_step(x_batch_train, y_batch_train)
        if step % 100 == 0:
            print(f"  Step {step}, Loss: {loss.numpy()}")

A kulcs a train_step függvényben van. Nem csak a tiszta adatokon tanítunk, hanem menet közben generálunk adversarial példákat, és azokon is. Ez a folyamatos „stresszteszt” teszi a modellt ellenállóbbá a jövőbeni, valódi támadásokkal szemben.

Több, mint FGSM: A Támadások Evolúciója

Fontos megérteni, hogy az FGSM csak a jéghegy csúcsa. Egy kiváló eszköz a koncepció megértésére és a tesztelésre, de a támadók eszköztára ennél sokkal kifinomultabb. Ha komolyan veszed a modelljeid biztonságát, ismerned kell az ellenség többi fegyverét is.

  • Iteratív módszerek (pl. PGD – Projected Gradient Descent): Az FGSM egyetlen nagy lépést tesz. A PGD ezzel szemben sok apró lépést tesz, és minden lépés után biztosítja, hogy a módosítás egy adott korláton (az epszilon-gömbön) belül maradjon. Sokkal erősebb, nehezebben kivédhető támadás, és gyakran használják robusztus modellek tesztelésére.
  • Optimalizáció-alapú támadások (pl. C&W – Carlini & Wagner): Ezek a támadások a „lopakodásra” mennek rá. Ahelyett, hogy a hibát maximalizálnák, azt a célt tűzik ki, hogy a lehető legkisebb, legészrevehetetlenebb módosítást találják meg, ami még éppen elég a félrekategorizáláshoz. Lassabbak, de rendkívül hatékonyak.
  • Black-box támadások: Mi van, ha a támadónak nincs hozzáférése a modelled belső működéséhez, a gradiensekhez? Ezek a „fekete doboz” támadások. Két fő típusuk van:
    • Lekérdezés-alapú (Query-based): A támadó sokszor lekérdezi a modellt különböző bemenetekkel, és a kimenetekből (pl. a valószínűségekből) próbálja megbecsülni a gradiens irányát.
    • Transzfer (Transfer) támadások: A támadó betanít egy saját, helyi modellt, azon generál egy adversarial példát, és ezt küldi be a te modellednek. A meglepő az, hogy az egyik modellen generált támadások gyakran működnek más, teljesen eltérő architektúrájú modelleken is!

Itt egy táblázat, ami segít elhelyezni ezeket a támadásokat a térképen:

Támadás Típusa Sebesség Lopakodás (észrevehetetlenség) Komplexitás Szükséges tudás
FGSM Nagyon gyors Alacsony-Közepes Alacsony White-box (gradiens kell)
PGD Közepes Közepes-Magas Közepes White-box (gradiens kell)
C&W Lassú Nagyon magas Magas White-box (gradiens kell)
Black-box (Query) Nagyon lassú Változó Magas Black-box (csak kimenet)
Black-box (Transfer) Gyors Változó Közepes Black-box (csak kimenet)

Konklúzió: A Folyamatos Fegyverkezési Verseny

Ha eddig azt hitted, hogy az AI modellek fejlesztése csak a pontosság hajszolásáról szól, remélem, ez az írás felnyitotta a szemed. Az AI biztonság, és azon belül az adversarial támadások elleni védekezés, nem egy opció, hanem egy kötelező fejezet minden komoly projektben.

Ez nem egy egyszer megoldható probléma. Ez egy folyamatos fegyverkezési verseny. A védelmi mechanizmusokra válaszul új, kifinomultabb támadások születnek, amikre újabb védelmeket kell kifejleszteni. A te feladatod fejlesztőként vagy mérnökként nem az, hogy egy feltörhetetlen erődöt építs – mert olyan nem létezik. A feladatod az, hogy megértsd a kockázatokat, ismerd az ellenség módszereit, és a rendelkezésedre álló legjobb eszközökkel egy ellenálló, robusztus rendszert hozz létre.

Ne bízz vakon a 99%-os pontosságban. Kezdj el tesztelni. Használj FGSM-et, PGD-t. Nézd meg, hol törik a modelled. Mert jobb, ha te töröd el először, és nem egy támadó élesben.

Mert a végén lehet, hogy a legfontosabb kérdés nem az, hogy a modelled felismeri-e a pandát. Hanem az, hogy biztos vagy-e benne, hogy az a panda nem egy álruhás gibbon.

A Legkisebb Jogosultság Elve MI-ágenseknél: A túlzott jogosultságok rejtett veszélyei

2025.10.17.

Zéró Bizalom (Zero Trust) az MI Biztonságban: Miért elengedhetetlen a Zero Trust logika a modern rendszereknél?

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit