{"id":58482,"date":"2023-06-09T11:51:20","date_gmt":"2023-06-09T10:51:20","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=58482"},"modified":"2023-06-09T11:51:23","modified_gmt":"2023-06-09T10:51:23","slug":"adversarial-ai-cose-e-come-agisce","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/","title":{"rendered":"Adversarial AI. Cos&#8217;\u00e8 e come agisce"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f6dada031d4\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f6dada031d4\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Primi_passi_dellAdversarial_Ai\" >Primi passi dell&#8217;Adversarial Ai<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Esempi_di_uso\" >Esempi di uso<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Modalita_di_attacco_con_lAdversarial_Ai\" >Modalit\u00e0 di attacco con l&#8217;Adversarial Ai<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Tassonomia\" >Tassonomia<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Avvelenamento_dei_dati\" >Avvelenamento dei dati<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Attacchi_bizantini\" >Attacchi bizantini<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Evasione\" >Evasione<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Estrazione_del_modello\" >Estrazione del modello<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Apprendimento_per_rinforzo_profondo_contraddittorio\" >Apprendimento per rinforzo profondo contraddittorio<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/alground.com\/site\/adversarial-ai-cose-e-come-agisce\/58482\/#Difese_allAdversarial_Ai\" >Difese all&#8217;Adversarial Ai<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n\n<p><strong>L&#8217;adversarial machine learning \u00e8 lo studio degli attacchi agli algoritmi di machine learning e delle difese contro tali attacchi.<\/strong> <\/p>\n\n\n\n<p>Per capire cos&#8217;\u00e8 l&#8217;Adversarial AI, \u00e8 importante notare che la maggior parte delle tecniche di apprendimento automatico sono progettate principalmente per funzionare su set di problemi specifici, assumendo che i dati di addestramento e di test siano generati dalla stessa distribuzione statistica (IID). Tuttavia, questo presupposto viene spesso pericolosamente violato nelle applicazioni pratiche ad alto rischio, <strong>in cui gli utenti possono intenzionalmente fornire dati che violano il presupposto statistico<\/strong>.<\/p>\n\n\n\n<p>Alcuni degli attacchi pi\u00f9 comuni nell&#8217;apprendimento automatico adversarial includono attacchi di evasione, attacchi di avvelenamento dei dati, attacchi bizantini ed estrazione di modelli.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Primi_passi_dellAdversarial_Ai\"><\/span>Primi passi dell&#8217;Adversarial Ai<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Nel 2004, <strong>Nilesh Dalvi<\/strong> e altri hanno notato che i classificatori lineari utilizzati nei filtri antispam potevano essere elusi da semplici &#8220;attacchi di evasione&#8221;, in quanto gli spammer inserivano &#8220;parole autorizzate&#8221; nelle loro e-mail di spam. Nel 2006, Marco Barreno e altri hanno pubblicato &#8220;Can Machine Learning Be Secure?&#8221;, in cui delineavano una vasta tassonomia di attacchi. <strong>Nel 2012, le reti neurali profonde hanno iniziato a dominare i problemi di visione artificiale<\/strong>, ma nel 2014 \u00e8 stato dimostrato che anche le reti neurali profonde potevano essere ingannate dagli avversari utilizzando attacchi basati sul gradiente per creare perturbazioni avverse.<\/p>\n\n\n\n<p>Recentemente, \u00e8 stato osservato che gli attacchi contraddittori sono pi\u00f9 difficili da produrre nel mondo reale a causa dei diversi vincoli ambientali che annullano l&#8217;effetto. <strong>Ad esempio, anche una piccola rotazione o una leggera variazione nell&#8217;illuminazione di un&#8217;immagine<\/strong> pu\u00f2 rendere inefficace l&#8217;attacco. Alcuni ricercatori ritengono che sia pi\u00f9 facile far mancare i segnali di stop alle auto a guida autonoma fisicamente, anzich\u00e9 creare esempi contraddittori. Suggeriscono che sia necessario esplorare un nuovo approccio all&#8217;apprendimento automatico, lavorando su reti neurali con caratteristiche pi\u00f9 simili alla percezione umana.<\/p>\n\n\n\n<p><strong>Sebbene l&#8217;adversarial machine learning sia ancora ampiamente radicato nel mondo accademico<\/strong>, importanti aziende tecnologiche come Google, Microsoft e IBM hanno iniziato a fornire documentazione e basi di codice open source per consentire ad altri di valutare concretamente la solidit\u00e0 dei modelli di machine learning e ridurre al minimo il rischio di attacchi.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Esempi_di_uso\"><\/span>Esempi di uso<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p><strong>Gli esempi includono attacchi al filtro antispam<\/strong>, in cui i messaggi spam vengono offuscati attraverso l&#8217;ortografia errata di parole &#8220;cattive&#8221; o l&#8217;inserimento di parole &#8220;buone&#8221;. Attacchi alla sicurezza informatica, come <strong>l&#8217;offuscamento del codice malware<\/strong> all&#8217;interno dei pacchetti di rete o la modifica delle caratteristiche di un flusso di rete per ingannare la rilevazione delle intrusioni, <strong>attacchi al riconoscimento biometrico<\/strong>, in cui falsi tratti biometrici possono essere utilizzati per impersonare un utente legittimo o compromettere i modelli di riconoscimento biometrico degli utenti.<\/p>\n\n\n\n<p><strong>I ricercatori hanno dimostrato che modificando anche solo un singolo pixel <\/strong>era possibile ingannare gli algoritmi di deep learning. Altri esperimenti hanno coinvolto la stampa 3D di una tartaruga giocattolo con una texture progettata per farla classificare come un fucile dagli algoritmi di rilevamento degli oggetti di Google, indipendentemente dall&#8217;angolazione da cui veniva osservata la tartaruga. La creazione di tale tartaruga richiedeva solo una stampante 3D economica disponibile in commercio.<\/p>\n\n\n\n<p><strong>\u00c8 stato dimostrato che un&#8217;immagine di un cane<\/strong> &#8220;ottimizzata&#8221; dall&#8217;algoritmo pu\u00f2 sembrare un gatto sia per i computer che per gli esseri umani. Uno studio del 2019 ha rilevato che le persone possono indovinare come le macchine classificheranno le immagini contraddittorie. I ricercatori hanno scoperto metodi per confondere l&#8217;aspetto di un segnale di stop <strong>in modo che un veicolo autonomo lo classifichi come un segnale<\/strong> di limite di velocit\u00e0.<\/p>\n\n\n\n<p><strong>Un attacco contro il sistema Mobileye di Tesla ha indotto l&#8217;auto a guidare a 80 Km orari oltre il limite di velocit\u00e0<\/strong>, semplicemente aggiungendo una striscia di nastro nero da due pollici a un segnale di limite di velocit\u00e0. Modelli contraddittori su occhiali o abbigliamento progettati per ingannare i sistemi di riconoscimento facciale o i lettori di targhe hanno portato all&#8217;emergere di un&#8217;industria di &#8220;stealth streetwear&#8221;.<\/p>\n\n\n\n<p>Un attacco su una rete neurale pu\u00f2 consentire a un utente malintenzionato di iniettare algoritmi nel sistema di destinazione. I ricercatori possono anche creare input audio contraddittori per mascherare comandi agli assistenti intelligenti in un audio apparentemente innocuo, esiste una ricerca parallela sull&#8217;impatto di tali stimoli sulla percezione umana.<\/p>\n\n\n\n<p>Gli algoritmi di clustering sono utilizzati nelle applicazioni di sicurezza per analizzare malware e virus informatici, al fine di identificare le famiglie di malware e generare firme di rilevamento specifiche.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Modalita_di_attacco_con_lAdversarial_Ai\"><\/span>Modalit\u00e0 di attacco con l&#8217;Adversarial Ai<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tassonomia\"><\/span>Tassonomia<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Gli attacchi contro gli algoritmi di apprendimento automatico supervisionato possono essere classificati lungo tre assi principali: <strong>influenza sul classificatore, violazione della sicurezza e specificit\u00e0.<\/strong><\/p>\n\n\n\n<p>L&#8217;influenza sul classificatore si riferisce alla capacit\u00e0 di un attacco di interrompere la fase di classificazione del modello. Prima di eseguire l&#8217;attacco, potrebbe essere necessaria una fase di esplorazione per identificare le vulnerabilit\u00e0 del sistema. Tuttavia, l&#8217;aggressore potrebbe essere limitato da vincoli che impediscono la manipolazione completa dei dati.<\/p>\n\n\n\n<p>La violazione della sicurezza si verifica quando <strong>un attacco introduce dati dannosi che vengono erroneamente classificati come legittimi<\/strong>. Ad esempio, durante la fase di addestramento, l&#8217;introduzione di dati dannosi pu\u00f2 portare al rifiuto di dati legittimi dopo l&#8217;addestramento.<\/p>\n\n\n\n<p>La specificit\u00e0 di un attacco indica se l&#8217;obiettivo dell&#8217;attaccante \u00e8 una specifica intrusione o interruzione del sistema, oppure se si mira a creare un caos generale senza un obiettivo specifico.<\/p>\n\n\n\n<p>Questa tassonomia \u00e8 stata estesa in un modello di minaccia pi\u00f9 completo che considera l&#8217;obiettivo dell&#8217;avversario, la conoscenza del sistema attaccato, la capacit\u00e0 di manipolare i dati di input o i componenti del sistema e la strategia di attacco.<\/p>\n\n\n\n<p>Inoltre, questa tassonomia \u00e8 stata ulteriormente sviluppata per includere le dimensioni delle strategie di difesa contro gli attacchi avversari.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Avvelenamento_dei_dati\"><\/span>Avvelenamento dei dati<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>L&#8217;avvelenamento da dati si riferisce <strong>all&#8217;atto di contaminare intenzionalmente il set di dati di addestramento<\/strong> con dati dannosi o manipolati al fine di compromettere le prestazioni degli algoritmi di apprendimento automatico. Poich\u00e9 gli algoritmi di apprendimento si basano sui dati di addestramento per creare i loro modelli, l&#8217;avvelenamento <strong>pu\u00f2 influenzare in modo significativo il comportamento <\/strong>degli algoritmi e potenzialmente riprogrammarli con intenti dannosi.<\/p>\n\n\n\n<p>Ci sono preoccupazioni particolari riguardo ai dati di addestramento generati dagli utenti, ad esempio nei sistemi di raccomandazione di contenuti o nei <strong>modelli di linguaggio natural<\/strong>e. L&#8217;ampia presenza di account falsi sui social media offre molte opportunit\u00e0 per l&#8217;avvelenamento dei dati. Ad esempio, Facebook ha comunicato che rimuove circa 7 miliardi di account falsi ogni anno. L&#8217;avvelenamento dei dati \u00e8 stato identificato come una delle principali preoccupazioni nelle applicazioni industriali.<\/p>\n\n\n\n<p>Nel contesto dei social media, <strong>le campagne di disinformazione mirano a influenzare gli algoritmi di raccomandazione <\/strong>e moderazione per favorire determinati contenuti rispetto ad altri.<\/p>\n\n\n\n<p>Un caso particolare di avvelenamento dei dati \u00e8 rappresentato dall&#8217;attacco backdoor, che mira ad <strong>addestrare un algoritmo in modo che mostri un comportamento specifico<\/strong> solo quando si presenta un determinato trigger, come un piccolo difetto in immagini, suoni, video o testi.<\/p>\n\n\n\n<p>Ad esempio, nei sistemi di rilevamento delle intrusioni, che vengono spesso addestrati utilizzando dati raccolti, un utente malintenzionato pu\u00f2 avvelenare i dat<strong>i inserendo campioni dannosi durante l&#8217;operazione<\/strong> che successivamente interrompono il processo di riaddestramento degli algoritmi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Attacchi_bizantini\"><\/span>Attacchi bizantini<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Negli scenari in cui l&#8217;apprendimento automatico viene distribuito su pi\u00f9 computer, come nel caso dell&#8217;apprendimento collaborativo, i dispositivi perimetrali collaborano inviando gradienti o parametri del modello a un server centrale. Tuttavia, alcuni di questi dispositivi possono deviare dal comportamento previsto e agire in modo malevolo <strong>al fine di danneggiare il modello del server centrale<\/strong> o influenzare gli algoritmi verso comportamenti indesiderati, come l&#8217;amplificazione di contenuti disinformativi.<\/p>\n\n\n\n<p>D&#8217;altro canto, se l&#8217;addestramento viene eseguito su una singola macchina, questa diventa un punto di vulnerabilit\u00e0 critico in caso di guasto o attacco. In effetti, il proprietario della macchina potrebbe anche inserire un backdoor che \u00e8 difficilmente rilevabile.<\/p>\n\n\n\n<p><strong>Attualmente, le soluzioni principali per rendere gli algoritmi di apprendimento<\/strong> (distribuiti) resilienti contro una minoranza di partecipanti malevoli, noti come partecipanti bizantini, si basano su robuste regole di aggregazione del gradiente. Tuttavia, queste regole di aggregazione non sempre funzionano, specialmente quando i dati tra i partecipanti non hanno una distribuzione indipendente e identicamente distribuita. Inoltre, nel contesto di partecipanti onesti ma eterogenei, come utenti con diverse abitudini di consumo per gli algoritmi di raccomandazione o stili di scrittura per i modelli linguistici, esistono teoremi di impossibilit\u00e0 dimostrabili che stabiliscono limiti su ci\u00f2 che qualsiasi algoritmo di apprendimento pu\u00f2 garantire.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Evasione\"><\/span>Evasione<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p><strong>Gli attacchi di evasione consistono nell&#8217;utilizzare le imperfezioni<\/strong> di un modello addestrato per eludere il suo funzionamento. Ad esempio, gli spammer e gli hacker spesso cercano di eludere i sistemi di rilevamento offuscando il contenuto delle e-mail di spam e del malware. Vengono apportate modifiche ai campioni in modo che vengano classificati come legittimi, senza influenzare i dati di addestramento. <strong>Un esempio chiaro di evasione \u00e8 lo spam basato su immagini<\/strong>, in cui il contenuto dello spam \u00e8 incorporato in un&#8217;immagine allegata per evitare l&#8217;analisi testuale da parte dei filtri antispam. Un altro esempio di evasione \u00e8 rappresentato dagli attacchi di spoofing ai sistemi di verifica biometrica.<\/p>\n\n\n\n<p>Gli attacchi di evasione possono essere generalmente suddivisi in due categorie: attacchi scatola nera e attacchi scatola bianca (black box e white box in inglese, nome usato pi\u00f9 comunemente). Gli attacchi scatola nera si basano solo sull&#8217;output del modello senza avere conoscenza interna sul suo funzionamento interno. Gli attacchi scatola bianca, invece, presuppongono una conoscenza completa del modello, inclusi i suoi parametri interni e le sue strutture.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Estrazione_del_modello\"><\/span>Estrazione del modello<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p><strong>L&#8217;estrazione del modello si riferisce all&#8217;azione in cui un avversario sonda un sistema di apprendimento automatico a scatola nera per ottenere informazioni sui dati<\/strong> su cui \u00e8 stato addestrato il modello. Questo pu\u00f2 diventare problematico quando i dati di addestramento o il modello stesso sono sensibili e riservati. Ad esempio, l&#8217;estrazione del modello potrebbe essere utilizzata per ottenere un modello di trading azionario proprietario che l&#8217;avversario potrebbe successivamente utilizzare a proprio vantaggio finanziario.<\/p>\n\n\n\n<p><strong>In casi estremi, l&#8217;estrazione del modello pu\u00f2 portare al cosiddetto &#8220;model stealing&#8221; (rubare il modello), che comporta l&#8217;estrazione di una quantit\u00e0 sufficiente<\/strong> di dati dal modello per consentire la sua completa ricostruzione.<\/p>\n\n\n\n<p>D&#8217;altra parte, l&#8217;inferenza dell&#8217;appartenenza \u00e8 un attacco mirato di estrazione del modello che tenta di dedurre il proprietario di un punto dati, spesso sfruttando l&#8217;overfitting causato da pratiche di machine learning non corrette. Questo attacco pu\u00f2 essere realizzato anche senza la conoscenza o l&#8217;accesso ai parametri del modello target, sollevando preoccupazioni sulla sicurezza dei modelli <strong>addestrati su dati sensibili<\/strong>, come ad esempio le cartelle cliniche o le informazioni personali identificabili. Con l&#8217;aumento del transfer learning e dell&#8217;accessibilit\u00e0 pubblica di molti modelli di machine learning all&#8217;avanguardia, le aziende tecnologiche sono sempre pi\u00f9 interessate a creare modelli basati su quelli pubblici, fornendo agli aggressori informazioni liberamente accessibili sulla struttura e il tipo di modello utilizzato.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Apprendimento_per_rinforzo_profondo_contraddittorio\"><\/span>Apprendimento per rinforzo profondo contraddittorio<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>L&#8217;apprendimento per rinforzo profondo contraddittorio \u00e8 un&#8217;area di ricerca attiva nell&#8217;ambito dell&#8217;apprendimento per rinforzo che si concentra sulle vulnerabilit\u00e0 delle politiche apprese. <strong>Studi iniziali hanno dimostrato che le politiche apprese nell&#8217;apprendimento per rinforzo possono essere soggette a manipolazioni<\/strong> contraddittorie impercettibili. Nonostante siano stati proposti alcuni metodi per affrontare queste vulnerabilit\u00e0, ricerche pi\u00f9 recenti hanno evidenziato che le soluzioni proposte sono lontane dall&#8217;offrire una rappresentazione accurata delle attuali vulnerabilit\u00e0 delle politiche di apprendimento profondo per rinforzo. La ricerca in questo campo \u00e8 in corso per comprendere meglio e affrontare le sfide legate alle vulnerabilit\u00e0 delle politiche apprese nell&#8217;apprendimento per rinforzo profondo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Difese_allAdversarial_Ai\"><\/span>Difese all&#8217;Adversarial Ai<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I ricercatori hanno proposto un approccio in pi\u00f9 fasi per proteggere l&#8217;apprendimento automatico dalle minacce avverse. Questo approccio comprende i seguenti passaggi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Modellazione delle minacce<\/strong>: consiste nel formalizzare gli obiettivi e le capacit\u00e0 degli aggressori rispetto al sistema bersaglio. Si tratta di identificare e comprendere le possibili minacce che potrebbero essere rivolte al sistema di apprendimento automatico.<\/li>\n\n\n\n<li><strong>Simulazione di attacco<\/strong>: in questa fase si formalizza il problema di ottimizzazione che l&#8217;aggressore cerca di risolvere, considerando le possibili strategie di attacco che potrebbero essere adottate. Questo aiuta a valutare la robustezza del sistema di apprendimento automatico rispetto a diverse minacce.<\/li>\n\n\n\n<li><strong>Valutazione dell&#8217;impatto dell&#8217;attacco<\/strong>: si analizza l&#8217;impatto che un attacco potrebbe avere sul sistema di apprendimento automatico, valutando le possibili conseguenze in termini di prestazioni e affidabilit\u00e0.<\/li>\n\n\n\n<li><strong>Progettazione di contromisure<\/strong>: in questa fase si sviluppano strategie e tecniche di difesa per mitigare le minacce identificate. Queste contromisure possono includere l&#8217;implementazione di algoritmi di apprendimento, la verifica dell&#8217;integrit\u00e0 dei dati di addestramento, la rilevazione degli attacchi e altre tecniche di sicurezza.<\/li>\n\n\n\n<li><strong>Rilevamento del rumore<\/strong> (per attacchi basati sull&#8217;evasione): quando si affrontano attacchi di evasione, \u00e8 possibile utilizzare metodi di rilevamento del rumore per identificare le modifiche apportate ai dati di input al fine di eludere il sistema di apprendimento automatico.<\/li>\n\n\n\n<li><strong>Riciclaggio di informazioni<\/strong> (per attacchi di furto di modelli): quando si affrontano attacchi di furto di modelli, si possono adottare strategie per alterare le informazioni ricevute dagli avversari, in modo che non siano in grado di ottenere una replica esatta del modello originale.<\/li>\n<\/ol>\n\n\n\n<p>Questo approccio in pi\u00f9 fasi mira a migliorare la sicurezza e la robustezza del sistema di apprendimento automatico contro le minacce avverse.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;adversarial machine learning \u00e8 lo studio degli attacchi agli algoritmi di machine learning e delle difese contro tali attacchi. Per capire cos&#8217;\u00e8 l&#8217;Adversarial AI, \u00e8 importante notare che la maggior parte delle tecniche di apprendimento automatico sono progettate principalmente per funzionare su set di problemi specifici, assumendo che i dati di addestramento e di test [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":58487,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,2095],"tags":[2147,793],"class_list":{"0":"post-58482","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-cyberwarfare","9":"tag-intelligenza-artificiale","10":"tag-sicurezza-informatica","11":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2023\/06\/adversarial-ai.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58482","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=58482"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58482\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/58487"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=58482"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=58482"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=58482"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}