Discussion :

[Anthony]

Les systèmes d'IA font face à des menaces croissantes : le NIST a identifié les différents types de cyberattaques qui manipulent le comportement des systèmes d'IA

Alors que les systèmes d'IA continuent de se développer, le paysage des menaces qui les ciblent se développe lui aussi. Le National Institute of Standards and Technology (NIST) vient de publier un rapport indiquant que des acteurs malveillants utilisent l'apprentissage automatique pour contourner ces systèmes. Sur la base des conclusions présentées dans ce rapport, cette menace va probablement s'accroître dans un avenir proche.

Les attaquants peuvent délibérément confondre ou même "empoisonner" les systèmes d'intelligence artificielle (IA) pour les faire dysfonctionner - et il n'y a pas de défense infaillible que leurs développeurs puissent employer. Des informaticiens du National Institute of Standards and Technology (NIST) et leurs collaborateurs identifient ces vulnérabilités de l'IA et de l'apprentissage automatique, ainsi que d'autres, dans une nouvelle publication.

Leur travail, intitulé Adversarial Machine Learning : A Taxonomy and Terminology of Attacks and Mitigations, s'inscrit dans le cadre des efforts plus larges du NIST pour soutenir le développement d'une IA digne de confiance, et peut aider à mettre en pratique le cadre de gestion des risques de l'IA du NIST. Ce document, fruit d'une collaboration entre le gouvernement, le monde universitaire et l'industrie, vise à aider les développeurs et les utilisateurs de l'IA à se familiariser avec les types d'attaques auxquels ils peuvent s'attendre, ainsi qu'avec les méthodes permettant de les atténuer, tout en sachant qu'il n'existe pas de solution miracle.

"Nous fournissons une vue d'ensemble des techniques et méthodologies d'attaque qui prennent en compte tous les types de systèmes d'IA", a déclaré Apostol Vassilev, informaticien au NIST et l'un des auteurs de la publication. "Nous décrivons également les stratégies d'atténuation actuelles décrites dans la littérature, mais ces défenses disponibles manquent actuellement de garanties solides quant à leur capacité à atténuer pleinement les risques. Nous encourageons la communauté à proposer de meilleures défenses".

Les systèmes d'IA ont pénétré la société moderne, travaillant dans des capacités allant de la conduite de véhicules à l'aide au diagnostic de maladies par les médecins, en passant par l'interaction avec les clients sous la forme de chatbots en ligne. Pour apprendre à effectuer ces tâches, ils sont formés à partir de grandes quantités de données : Un véhicule autonome peut se voir présenter des images d'autoroutes et de rues avec des panneaux de signalisation, par exemple, tandis qu'un chatbot basé sur un grand modèle de langage (LLM) peut être exposé à des enregistrements de conversations en ligne. Ces données aident l'IA à prédire comment réagir dans une situation donnée.

L'un des principaux problèmes réside dans le fait que les données elles-mêmes peuvent ne pas être dignes de confiance. Elles peuvent provenir de sites web et d'interactions avec le public. Il existe de nombreuses possibilités pour les acteurs malveillants de corrompre ces données, à la fois pendant la période de formation d'un système d'IA et par la suite, lorsque l'IA continue d'affiner ses comportements en interagissant avec le monde physique. L'IA peut alors se comporter de manière indésirable. Les chatbots, par exemple, peuvent apprendre à répondre par des propos injurieux ou racistes lorsque leurs garde-fous sont contournés par des prompts malveillants soigneusement élaborés.

"La plupart du temps, les développeurs de logiciels ont besoin qu'un plus grand nombre de personnes utilisent leur produit pour qu'il s'améliore avec l'exposition", a déclaré M. Vassilev. "Mais il n'y a aucune garantie que l'exposition sera bonne. Un chatbot peut cracher des informations mauvaises ou toxiques lorsqu'on le sollicite avec un langage soigneusement conçu."

En partie parce que les ensembles de données utilisés pour former une IA sont beaucoup trop importants pour que les gens puissent les surveiller et les filtrer avec succès, il n'existe pas encore de moyen infaillible de protéger l'IA contre les erreurs d'orientation. Pour aider la communauté des développeurs, le nouveau rapport offre une vue d'ensemble des types d'attaques dont ses produits d'IA pourraient être victimes et des approches correspondantes pour réduire les dommages.

Le rapport examine les quatre principaux types d'attaques : l'évasion, l'empoisonnement, les atteintes à la vie privée et les abus. Il les classe également en fonction de multiples critères tels que les buts et objectifs de l'attaquant, ses capacités et ses connaissances.

Les attaques par évasion, qui se produisent après le déploiement d'un système d'IA, tentent de modifier une entrée pour changer la façon dont le système y répond. Il peut s'agir, par exemple, d'ajouter des marquages aux panneaux d'arrêt pour qu'un véhicule autonome les interprète à tort comme des panneaux de limitation de vitesse ou de créer des marquages de voies confus pour que le véhicule dévie de la route.

Les attaques par empoisonnement se produisent au cours de la phase de formation par l'introduction de données corrompues. Un exemple serait de glisser de nombreux exemples de langage inapproprié dans les enregistrements de conversation, de sorte qu'un chatbot interprète ces exemples comme un langage suffisamment courant pour les utiliser dans ses propres interactions avec les clients.

Les attaques contre la vie privée, qui se produisent pendant le déploiement, sont des tentatives d'apprendre des informations sensibles sur l'IA ou les données sur lesquelles elle a été formée afin de l'utiliser à mauvais escient. Un adversaire peut poser de nombreuses questions légitimes à un chatbot, puis utiliser les réponses pour rétroconcevoir le modèle afin de trouver ses points faibles ou de deviner ses sources. L'ajout d'exemples indésirables à ces sources en ligne pourrait amener l'IA à se comporter de manière inappropriée, et il peut être difficile de faire désapprendre à l'IA ces exemples indésirables spécifiques après coup.

Les attaques par abus impliquent l'insertion d'informations incorrectes dans une source, telle qu'une page web ou un document en ligne, que l'IA absorbe ensuite. Contrairement aux attaques par empoisonnement susmentionnées, les attaques par abus visent à fournir à l'IA des éléments d'information incorrects provenant d'une source légitime mais compromise, afin de détourner l'utilisation prévue du système d'IA.

"La plupart de ces attaques sont assez faciles à mettre en place et nécessitent une connaissance minimale du système d'IA et des capacités adverses limitées", a déclaré Alina Oprea, professeur à la Northeastern University et coauteur de l'étude. "Les attaques par empoisonnement, par exemple, peuvent être montées en contrôlant quelques douzaines d'échantillons d'entraînement, ce qui représente un très faible pourcentage de l'ensemble de l'entraînement."

Les auteurs, dont Alie Fordyce et Hyrum Anderson, chercheurs à Robust Intelligence Inc., décomposent chacune de ces classes d'attaques en sous-catégories et ajoutent des approches pour les atténuer, bien que la publication reconnaisse que les défenses que les experts en IA ont conçues pour les attaques adverses jusqu'à présent sont au mieux incomplètes. Il est important que les développeurs et les organisations qui cherchent à déployer et à utiliser la technologie de l'IA soient conscients de ces limites, a déclaré M. Vassilev.

"Malgré les progrès considérables réalisés par l'IA et l'apprentissage automatique, ces technologies sont vulnérables aux attaques qui peuvent provoquer des échecs spectaculaires aux conséquences désastreuses", a-t-il déclaré. "La sécurisation des algorithmes d'IA pose des problèmes théoriques qui n'ont tout simplement pas encore été résolus. Si quelqu'un dit le contraire, c'est qu'il vend de l'huile de serpent".

Source : "NIST Identifies Types of Cyberattacks That Manipulate Behavior of AI Systems" (NIST)

Et vous ?

Quel est votre avis sur le sujet ?

Trouvez-vous cette étude du NIST crédible ou pertinente ?

Selon vous, quelle est l'importance des défis posés par ces différents types d'attaques ? Pensez-vous qu'il existe actuellement des stratégies efficaces pour atténuer ces risques ?

Voir aussi :

Des chercheurs découvrent un moyen simple de faire en sorte qu'une IA ignore ses garde-fous et diffuse des contenus interdits, l'exploit affecte aussi bien ChatGPT que ses rivaux Bard et Claude

Attaques d'empoisonnement spécifiques aux invites sur les modèles génératifs texte-image : Nightshade altère les données d'entraînement et permet aux artistes de lutter contre l'IA générative

L'IA peut être facilement induite en erreur par des attaques contradictoires, devrait-on s'en inquiéter ?

Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023, découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés

[Stéphane le calme]

L'IA de Google conseille aux utilisateurs de mettre de la colle sur les pizzas pour empêcher le fromage de glisser,
une suggestion tirée d'un commentaire Reddit vieux de 11 ans

Dans un tournant surprenant et quelque peu humoristique, l’outil de recherche AI de Google a suggéré à ses utilisateurs d’ajouter de la colle sur leur pizza pour empêcher le fromage de glisser. Cette recommandation insolite semble être le résultat direct de l’entraînement de l’IA sur des publications Reddit, un choix qui soulève des questions sur la fiabilité des sources utilisées pour l’apprentissage des algorithmes d’intelligence artificielle. L’incident a été mis en lumière lorsque des utilisateurs ont remarqué que la fonctionnalité “AI Overviews” de Google, qui génère des résumés de résultats de recherche, proposait cette astuce étrange.

En février, Google et la plateforme de médias sociaux Reddit ont annoncé avoir conclu un partenariat à 60 milliards de dollars dans le cadre duquel Reddit fournira son contenu pour l'entraînement des modèles d'intelligence artificielle (IA) du géant des moteurs de recherche.

Dans le cadre de cette collaboration, Google peut utiliser l'interface de programmation d'applications (API) des données de Reddit, qui fournit du contenu en temps réel à partir de la plateforme de Reddit, ce qui permet d'accéder au vaste contenu de Reddit et de l'afficher dans les produits de Google.

Reddit aura accès à Vertex AI, le service de Google basé sur l'IA et conçu pour améliorer les résultats de recherche des entreprises. Reddit précise que cette mise à jour n'a pas d'incidence sur les conditions de son API de données, qui maintient les restrictions sur l'accès commercial sans approbation pour les développeurs ou les entreprises.

Google a déclaré à ce moment-là :

« Nous entretenons une relation de longue date avec Reddit, et aujourd'hui nous partageons un certain nombre de façons d'approfondir notre partenariat au sein de l'entreprise. Reddit joue un rôle unique sur l'internet ouvert en tant que grande plateforme avec une incroyable richesse de conversations et d'expériences authentiques et humaines, et nous sommes ravis de nous associer pour permettre aux gens de bénéficier encore plus facilement de ces informations utiles.

« Tout d'abord, nous sommes heureux d'annoncer un nouveau partenariat Cloud qui permet à Reddit d'intégrer de nouvelles capacités basées sur l'IA grâce à Vertex AI. Reddit a l'intention d'utiliser Vertex AI pour améliorer la recherche et d'autres fonctionnalités sur la plateforme Reddit.

« Au fil des ans, nous avons constaté que les gens utilisent de plus en plus Google pour rechercher du contenu utile sur Reddit, afin de trouver des recommandations de produits, des conseils de voyage et bien d'autres choses encore. Nous savons que ces informations sont utiles, c'est pourquoi nous développons des moyens de les rendre encore plus faciles d'accès à travers les produits Google. Ce partenariat facilitera l'affichage d'un plus grand nombre d'informations Reddit, ce qui rendra nos produits plus utiles pour nos utilisateurs et facilitera la participation aux communautés et aux conversations Reddit.

« Pour permettre ces expériences et d'autres encore, Google a désormais accès à l'API de données de Reddit, qui fournit un contenu unique, structuré et en temps réel à partir de sa plateforme vaste et dynamique. Grâce à l'API de données Reddit, Google dispose désormais d'un accès efficace et structuré à des informations plus fraîches, ainsi qu'à des signaux améliorés qui nous aideront à mieux comprendre le contenu Reddit et à l'afficher, à le former et à l'utiliser de la manière la plus précise et la plus pertinente possible. Ce partenariat élargi ne modifie en rien l'utilisation que fait Google du contenu accessible au public et pouvant être exploré, à des fins d'indexation, de formation ou d'affichage dans les produits Google ».

Un conseil inattendu

La nouvelle fonction de recherche de Google, AI Overviews, semble mal tourner. L'outil, qui fournit des résumés des résultats de recherche générés par l'IA, a semblé demander à un utilisateur de mettre de la colle sur une pizza lorsqu'il a cherché « le fromage n'adhère pas à la pizza ».

En cherchant des solutions au problème du fromage qui ne colle pas à la pizza, une capture d'écran du résumé qu'il a généré, partagée sur X, montre qu'il a répondu « le fromage peut glisser de la pizza pour un certain nombre de raisons » et que l'utilisateur pourrait essayer d'ajouter « environ 1/8 de tasse de colle non toxique à la sauce pour augmenter son adhérence ».

Selon un autre utilisateur de X, la suggestion semble avoir été basée sur un commentaire Reddit datant d'il y a 11 ans, qui était probablement écrit sur le ton de la plaisanterie.

Google AI overview suggests adding glue to get cheese to stick to pizza, and it turns out the source is an 11 year old Reddit comment from user F*cksmith 😂 pic.twitter.com/uDPAbsAKeO

— Peter Yang (@petergyang) May 23, 2024

Les risques de l’apprentissage automatique

Cet exemple illustre les risques associés à l’utilisation de données issues de forums en ligne comme matériel d’entraînement pour les IA. Reddit, connu pour son contenu varié et souvent non vérifié, peut contenir des informations trompeuses ou humoristiques qui, lorsqu’elles sont prises au sérieux par une IA, peuvent conduire à des conseils erronés.

Google a commencé à tester la fonction AI Overviews aux États-Unis et au Royaume-Uni au début de l'année et a annoncé qu'elle serait déployée plus largement d'ici à la fin de 2024. Liz Reid, responsable de la recherche, l'a présentée comme « Google va faire la recherche à votre place » lors de la conférence I/O de l'entreprise la semaine dernière.

Le conseil de la colle à pizza met en évidence les pièges de l'utilisation de la fonction d'IA pour la recherche d'informations. Dans d'autres cas, comme le souligne Peter Kafka, l'un des problèmes des moteurs d'IA générative est qu'ils peuvent tout simplement inventer des choses.

Kafka a utilisé la fonctionnalité "IA Overview" pour demander si la Tour de Londres avait été endommagée par les bombes allemandes pendant la Seconde Guerre mondiale. Le résumé a confondu le monument avec la tour d'horloge connue sous le nom de Big Ben. Le résumé indique que « le toit et les cadrans ont été endommagés lors d'un raid aérien », mais ce n'est pas exact.

Ce n'est qu'une des nombreuses erreurs qui apparaissent dans la nouvelle fonctionnalité que Google a déployée ce mois-ci. Elle affirme également que l'ancien président des États-Unis James Madison a été diplômé de l'université du Wisconsin non pas une fois mais 21 fois, qu'un chien a joué dans la NBA, la NFL et la NHL, et que Batman est un policier.

La réaction de Google

Meghann Farnsworth, porte-parole de Google, a précédemment déclaré aux médias que de tels exemples étaient « des requêtes extrêmement rares et ne sont pas représentatives des expériences de la plupart des gens ». Elle a ajouté que la « grande majorité des aperçus d'IA fournissent des informations de haute qualité » et que Google a effectué des « tests approfondis » avant de lancer la fonctionnalité. L'entreprise a pris des mesures contre les violations de ses règles, a-t-elle précisé, et utilise ces « exemples isolés » pour continuer à affiner le produit.

Néanmoins, cet incident met en évidence les défis que représentent la vérification et la sélection des données utilisées pour l’entraînement des modèles d’intelligence artificielle.

Google n'a pas promis que tout serait parfait et a même apposé la mention « Generative AI is experimental » au bas des réponses sur l'IA. Mais il est clair que ces outils ne sont pas prêts à fournir des informations précises à grande échelle.

Prenons par exemple la grande présentation de cette fonctionnalité lors de la conférence Google I/O. La démo était très contrôlée, et pourtant, elle a fourni une réponse douteuse sur la manière de réparer un appareil photo à pellicule bloqué (elle suggérait « d'ouvrir l'arrière et de retirer délicatement la pellicule » ; ne faites pas cela si vous ne voulez pas gâcher vos photos !)

Il n'y a pas que Google ; des entreprises comme OpenAI, Meta et Perplexity ont toutes été confrontées à des hallucinations et à des erreurs de l'IA. Toutefois, Google a décidé de déployer cette technologie à grande échelle, et les exemples d'erreurs ne cessent d'affluer.

Les entreprises qui développent l'intelligence artificielle s'empressent souvent d'éviter d'assumer la responsabilité de leurs systèmes, affirmant qu'elles ne peuvent pas prédire ce que l'intelligence artificielle va produire, et qu'elles n'ont donc aucun contrôle sur la situation.

Mais pour les utilisateurs, c'est un problème. L'année dernière, Google a déclaré que l'IA était l'avenir de la recherche. Mais à quoi cela sert-il si la recherche semble plus bête qu'avant ?

Sur Threads, cette internaute se demande : « L'une des particularités des réponses de l'IA de Google est qu'il n'y a aucune clarté sur la manière dont le système choisit ce qu'il faut mettre en avant. Les réponses de l'IA doivent-elles inclure des éléments tirés de commentaires Reddit aléatoires ? Un exemple : le point sur les chats qui vous lèchent pour voir si vous êtes propre à la consommation a été repris mot pour mot d'un post Reddit qui était clairement une blague ».

Conclusion

Alors que l’intelligence artificielle continue de se développer et de s’intégrer dans notre quotidien, il est essentiel de rester vigilant quant à la qualité des données utilisées pour son apprentissage. Cet épisode de la colle sur pizza nous rappelle que l’IA est aussi fiable que les informations sur lesquelles elle est formée. Il souligne l’importance de la responsabilité et de la transparence dans le développement des technologies d’intelligence artificielle.

Source : captures d'écran

Et vous ?

Quelle est votre réaction initiale en apprenant que l’IA de Google a suggéré de mettre de la colle sur les pizzas ?
Comment pensez-vous que les entreprises technologiques devraient gérer la vérification des données utilisées pour entraîner leurs IA ?
Quel rôle les utilisateurs peuvent-ils jouer pour aider à améliorer la qualité des suggestions fournies par les IA ?
Avez-vous déjà rencontré des conseils ou des informations étranges provenant d’une IA ? Si oui, comment avez-vous réagi ?
Quelles mesures préventives pourraient être mises en place pour éviter que des erreurs similaires se reproduisent à l’avenir ?
Dans quelle mesure faites-vous confiance aux résumés générés par l’IA et comment vérifiez-vous leur exactitude ?
Pensez-vous que l’humour et la satire devraient être exclus de l’entraînement des IA pour éviter de tels malentendus ?

[Jules34]

L'idiocratie se met en place petit à petit, mais tout ce flot d'information erronée c'est pas grave tant que ça ne pousse pas les gens à s'engager politiquement, par contre si l'IA se mettait à dire ouvertement que les politiques occidentaux sont corrompus la il la débrancherait vite, idem pour Macron si chat gpt se mettait à dire que c'est un agent américain qui est la pour leur vendre des brevets et technologies française.

Les plus comploteurs ce ne sont pas ceux qui doutent de l'efficacité du vaccin ou de la probité des hommes politiques, ce sont bien les patrons et les ingénieurs qui sont en train de faire des machines à raconter n'importe quoi tant que c'est du bon miel pour les oreilles qui ne gênent pas les puissants et la mondialisation, tant pis pour la colle dans la pizza ou le chien qui joue à la NBA, ils finiront par vous dire que ce n'est pas un bug mais une feature pour rigoler un peu dans ce monde de fou