02-6645511
התקפות סייבר בעזרת AI: הסבריות ועקביות כמשטח תקיפה חדש
מבוא
בינה מלאכותית הפכה לרכיב ליבה במערכות דיגיטליות מודרניות – החל ממנגנוני זיהוי הונאות, דרך סינון תוכן וספאם, ועד מערכות הגנה ברשתות ארגוניות ותשתיות קריטיות. שילובה העמוק במערכות קבלת החלטות יוצר יתרון תפעולי משמעותי, אך במקביל מייצר משטח תקיפה חדש.
בניגוד לאיומים מסורתיים הממוקדים בשרתים, משתמשים או פרוטוקולי תקשורת, במערכות מבוססות AI המודל עצמו הופך ליעד. תוקפים אינם מנסים רק לעקוף את המערכת – אלא ללמוד אותה. באמצעות שאילתות שיטתיות ניתן לנתח דפוסי תגובה, לבצע חילוץ מודל, ולהסיק מידע על נתוני האימון או גבולות ההכרעה.
באופן פרדוקסלי, עקרונות שנועדו לשפר אמינות ושקיפות – כגון הסבריות ועקביות – עשויים בתנאים מסוימים להפוך לערוצי מידע המשרתים יריב מיומן.
הסבריות כגורם מעצים התקפה
הסבריות נועדה לאפשר שקיפות והבנה של תהליך קבלת ההחלטות. במערכות פיננסיות, רפואיות וביטחוניות מדובר לעיתים בדרישה רגולטורית ואתית. עם זאת, כל מידע נוסף המוחזר למשתמש מהווה גם הרחבה של משטח התקיפה.
רמת הסיכון תלויה בשלושה פרמטרים מרכזיים:
- רזולוציית הפלטים
- עושר המידע המוחזר
- תדירות השאילתות המותרת
זליגת פרטיות דרך הסקה על נתוני אימון
כאשר מודל מחזיר הסתברויות מפורטות או ציוני ביטחון רציפים, ניתן לבצע הבחנה סטטיסטית בין דוגמאות שהופיעו בסט האימון לבין דוגמאות חיצוניות, במיוחד במצבי התאמת יתר.
הסיכון אינו נובע מעצם השקיפות, אלא מהשילוב בין פלטים עשירים לבין גישה בלתי מבוקרת.
חילוץ מודלים
גישה למודל דרך API מאפשרת להזין קלטים שיטתיים, לאסוף פלטים, ולאמן מודל חיקוי. חשיפת ציוני ביטחון מפורטים משפרת משמעותית את איכות השחזור.
מודל חיקוי כזה מאפשר:
- יצירת קלטים עוינים
- מיפוי גבולות סיווג
- בדיקה לא מקוונת של וריאציות קלט
- עקיפת מנגנוני סינון
בתרחיש זה מנגנון ההכרעה עצמו הופך למקור מידע מנבא.
ניתוח סיכון יישומי
בעולם ניהול הסיכונים מקובל להגדיר:
סיכון = איום × חולשהובמודל מורחב:סיכון = איום × חולשה × השפעה
במערכת AI:
- האיום הוא גורם המבצע שאילתות חקרניות
- החולשה היא חשיפת ציון סיכון מפורט או נימוק כמותי
- ההשפעה עשויה להיות עקיפת מנגנון הגנה, דליפת מידע או הטעיית מסווג
כאשר מערכת מחזירה ציון סיכון מדויק וערך החלטה מספרי, היא אינה יוצרת את האיום אך מגדילה את רכיב החולשה. משוב כמותי מאפשר כיול איטרטיבי של הקלט עד למעבר מתחת לערך ההחלטה.
עקביות כיתרון אסטרטגי לתוקף
עקביות – כלומר אותו קלט מוביל לאותו פלט – היא עקרון יסודי במערכות אמינות. עם זאת, עקביות גבוהה מפחיתה רעש סטטיסטי ומאפשרת למידה מדויקת יותר של פונקציית ההחלטה.
האתגר אינו ביצירת חוסר עקביות מלאכותי, אלא בשליטה בכמות המידע שניתן ללמוד מהתנהגות המערכת.
שחזור גבולות החלטה
כאשר מודל מגיב באופן יציב, ניתן למפות גבולות החלטה ולאמן מודל קירוב. מודל כזה עשוי להספיק ליצירת דוגמאות תקיפה הניתנות להעברה גם למודל המקורי.
עקביות אינה חולשה כשלעצמה, אך בהיעדר בקרה היא מאיצה למידה התקפית.
עקביות בזמני תגובה
יציבות בזמני תגובה עשויה, בתנאים מסוימים, לאפשר ניתוח תזמון והסקת מאפיינים פנימיים של זרימת ההחלטה. בסביבות ענן ציבוריות קיים רעש תשתיתי משמעותי – תנודתיות ברשת, ריבוי דיירים, וירטואליזציה ואיזון עומסים – אשר מעלים את סטיית התקן של זמני התגובה ומקשים לבודד הבדלים זעירים בזמן העיבוד הפנימי. כאשר יחס האות–רעש נמוך, גם אם קיימת תלות בין זמן חישוב למידע פנימי, נדרש היקף מדידות גדול מאוד כדי לחלץ מסקנה מובהקת. לעומת זאת, במערכות מקומיות או בהתקני קצה שבהם הסביבה יציבה יותר והמדידה מדויקת יותר, ניתן לזהות סטיות זמן קטנות, ולכן פוטנציאל זליגת המידע התזמוני גבוה משמעותית.
מדובר באיום תלוי הקשר תפעולי.
עקיפת מערכות זיהוי מבוססות ML
מודלים עקביים מאפשרים חישוב שינויים מינימליים בקלט המובילים לשינוי סיווג. המודל פועל בהתאם לתכנונו, אך גבולות ההכרעה שלו מנוצלים ליצירת קלטים עוינים.
האתגר האדריכלי: אמון מול חסינות
הבעיה אינה הסבריות או עקביות כשלעצמן, אלא יישום שאינו מלווה בחשיבה עוינת.
מערכת אמינה נדרשת לאזן בין:
- שקיפות למשתמש לגיטימי
- מזעור דליפה אינפורמטיבית
- שימושיות תפעולית חסינות מול יריב מסתגל
מדובר באתגר תכנוני המשלב הנדסת תוכנה, אבטחת מידע ולמידת מכונה.
עקרונות מיתון
ניתן לצמצם את משטח התקיפה באמצעות עקרונות תכנוניים ברורים:
- מינימליזם בפלטים
- אחידות בהודעות שגיאה
- הגבלת קצב שאילתות וזיהוי דפוסי חקירה
- שימוש בטכניקות פרטיות דיפרנציאלית באימון
- אימון מול קלטים עוינים
- טשטוש מבוקר של פלטים
המטרה אינה לבטל שקיפות, אלא לנהל אותה באופן מבוקר.
סיכום
הסבריות ועקביות הן יסודות במערכות AI אמינות. אולם כאשר פלטי המודל עשירים וללא בקרה מספקת, הם עשויים להפוך לערוץ מידע התקפי.
הסיכון אינו נובע מהשקיפות עצמה, אלא מהיעדר תכנון המניח יריב רציונלי ומסתגל.
בעידן שבו AI משמש כמנגנון הגנה, עליו להיות מתוכנן גם כיעד תקיפה אפשרי. מערכת אמינה חייבת להיות שקופה למשתמש, אך לא אינפורמטיבית יתר על המידה ליריב.