李根 發自 凹非寺 量子位 報導 | 公眾號 QbitAI
首個TensorFlow安全風險被找到!
利用該風險,攻擊者可以生成Tensorflow的惡意模型文件,對AI研究者進行攻擊,對受害者自身的AI應用進行竊取或篡改、破壞。
目前,Google官方已經確認了該漏洞,並表示考慮到TensorFlow在AI的廣泛使用,TensorFlow官網將會像大多數重要軟體一樣在網站創建安全公告頁面,及時披露和修復安全漏洞。
Google官方,還對漏洞報告者給於了郵件致謝。
報告者,是來自中國的騰訊安全平臺部的安全預研團隊。
首個TensorFlow安全風險
騰訊安全預研團隊告訴量子位,此次TensorFlow漏洞發現過程並非偶然。
近期,在與部門AI同事碰撞思路後,確定嘗試研究Tensorflow模型文件。其後在深入挖掘TensorFlow API文檔及源碼過程中,發現確認了漏洞。
騰訊團隊認為,該風險危害面非常大,一方面攻擊成本低,普通攻擊者即可實施攻擊;另一方面迷惑性強,大部分AI研究者可能毫無防備。
同時因為利用了TensorFlow自身的機制,其在PC端和移動端的最新版本均會受到影響。AI模型被竊取,損失的是開發者的心血;而一旦被篡改,造成AI失控,後果更難以想像。
不過,暫時未有風險造成的損害事件發生,不僅因為是零日漏洞,而且還在第一時間向Google進行了報告,漏洞應該會得到及時修補。
謹慎使用外部TensorFlow模型
值得注意的是,雖然尚未造成攻擊事件,但騰訊安全團隊所發現的漏洞,不僅存在於最新TensorFlow版本中,TensorFlow老版本也存在該風險,而且存在時間久已,需要早已使用TensorFlow開發的開發者引起重視。
騰訊安全團隊對量子位確認,所有TensorFlow版本都有這個問題。
由於AI框架被大範圍使用,是近1-2年內的事,截至首個安全風險被報告,業內對此類安全問題關注度還不夠。
但TensorFlow可能是目前使用範圍最廣的AI框架了,除了Google,Ebay、Airbnb、Twitter、Uber都在使用TensorFlow進行AI模型訓練和開發。
在中國,小米、中興、京東等公司也在利用TensorFlow的開源框架。
在TensorFlow中,AI研究者可以復用他人建好的模型來進行AI訓練,或直接提供AI服務,大大提高開發效率。這些公開的模型通常以文件形式提供,也普遍被認為是無害的。
但此次漏洞被報告,算是給AI開發者「上了一課」。
未來,可能需要開發者在使用開源框架時「長點心」,比如謹慎使用外部提供的TensorFlow模型。
不比網際網路和移動網際網路時代,AI時代的風險攻擊,可能還在造成線上線下一體化影響,目前利用AI開源框架,越來越多的IoT設備正在被接入網絡。
騰訊安全預研團隊稱,2015年成立之時,聚焦重點之一就是聚焦AI、移動及IoT前沿領域的安全問題研究。
不過,TensorFlow的安全風險,也是首次發現,希望可以引起業內更廣泛關注。
「漏洞被成功利用後,可導致AI模型被盜或被惡意篡改,將造成AI失控。若惡意模型文件在網絡上被大範圍使用,可能導致大量使用者被攻擊。」騰訊安全團隊強調。
依賴庫也潛藏風險
這次騰訊是直接在TensorFlow框架中找到安全風險。
量子位在此前的報導中也提到 , TensorFlow、Caffe、Torch三個深度學習框架中包括很多 第三方軟體包,其中同樣存在安全風險。
一項初步研究顯示:三個框架中發現了15個漏洞,類型包括:DoS拒絕服務攻擊、躲避攻擊等。
研究者表示:「深度學習框架是複雜的,重度依賴大量開源軟體包。 」 這些依賴庫,也正是漏洞的根源。
— 完 —
活動報名
加入社群