A inizio anno il National Institute of Standards and Technology (NIST), agenzia governativa USA che si occupa della promozione delle tecnologie per favorire innovazione e competitività, ha pubblicato il documento “Adversarial machine learning [AML]. A Taxonomy and Terminology of Attacks and Mitigations” il cui focus sono le tecniche di apprendimento automatico antagonistico finalizzate a inquinare un sistema basato su algoritmi di apprendimento automatico.
Ma l’attenzione va posta anche su un aspetto poco messo in risalto nei commenti che da diverse parti sono stati fatti sul lavoro: quello afferente ai pericoli inerenti alla tutela dei dati personali, esplorati nel lavoro con una certa dose di analiticità.
Adversarial Machine Learning: ecco perché serve più sicurezza per i servizi “intelligenti”
Indice degli argomenti
I rischi dell’adversarial machine learning per la privacy
L’Adversarial machine learning opera, come sappiamo, sia tramite produzione di input volti a falsarne gli output dei sistemi di intelligenza artificiale in termini quali l’accuratezza e l’integrità, sia con attacchi per trarre informazioni sulla struttura degli algoritmi di AI.
L’AI è funzione di vari fattori, in particolare: i dati, il modello e i processi per l’addestramento, il test e la distribuzione dei modelli di machine learning (ML) e l’infrastruttura necessaria per utilizzarli.
Il lavoro del NIST rappresenta un utile contributo per l’impostazione di difese contro il cybercrime per le applicazioni di AI sia predittiva che generativa e categorizza le principali tipologie di aggressione per i sistemi di IA, generativi e predittivi che siano, secondo una tassonomia quadripartita di attacchi:
- “evasion”, tesi all’alterazione di input per cambiare il modo in cui il sistema risponde ad esso, come ad esempio quelli della segnaletica stradale che possono indurre in errore veicoli a guida autonoma;
- “data and model poisoning”, tramite introduzione di informazioni corrotte nella fase di addestramento, come ad esempio tracce audio con linguaggio inappropriato , così che il sistema le “impari” e poi le utilizzi nell’interazione con gli utenti;
- “data and model privacy” lesivo della riservatezza dei dati personali;
- “abuse” (verso i sistemi IA generativi), simili a quelli di avvelenamento da cui si distinguono perché l’intervento dell’attaccante è su possibili sorgenti dei dati disponibili sul web che vengono alterate o erroneamente linkate.
Con riguardo alla privacy, la ricerca pone attenzione alle possibili minacce, ascrivibili in generale a:
- manipolazione dei dati di addestramento;
- sfruttamento delle vulnerabilità del modello;
- manipolazioni maliziose, modifiche o semplice interazione con i modelli per estrarre informazioni sensibili sulle persone rappresentate nei dati, sul modello stesso e comunque sul patrimonio informativo dell’organizzazione sotto mira.
Le azioni malevoli contro la privacy possono essere ad esempio essere focalizzati sulla ricostruzione/estrazione di dati personali dal sistema attaccato oppure avere finalità inferenziali sull’appartenenza di individui a determinati gruppi, eventualità che può avere connotazioni delicate ad es. se riguardano cluster di patologie o misure giudiziarie.
La privacy differenziale come soluzione di mitigazione
Come possibile linea di difesa viene proposta la privacy differenziale: semplificando, con la privacy differenziale si apportano modifiche arbitrarie ai dati individuali tali che le basi dati differenziali siano un argine rispetto ai dati originari e dalle statistiche “differenziali” non si possa ricavare se le informazioni di un particolare individuo sono state utilizzate nel calcolo.
Con riguardo alle minacce alla privacy afferente all’AI generativa, in linea con il citato “abuse”, il documento menziona il rischio di manipolazione del modello per indirizzarlo a fornire risposte sbagliate e chatbot tramite cui sono state veicolate informazioni sensibili o cronologie di chat oppure raccolte o divulgate informazioni personali in maniera subdola o non autorizzata.
Viena anche richiamata la questione ChatGPT e l’intervento – forse il primo, comunque che ha avuto rilievo internazionale, al mondo – del nostro Garante della scorsa primavera cui si è affiancata una task force dell’EDPB: ma questa è materia viva come certifica la recente notifica di violazione dei dati personali che, in esito all’istruttoria, ha formulato il Garante.
Conclusioni
Ma aldilà di come verrà risolta questa fattispecie, la questione testimonia una vicenda che per la sua natura trascende la sola OpenAI, riguarderà tutti noi, non solo in Europa.
Un punto di equilibrio non potranno essere l’AI Act in Europa o l’Executive order on Safe, Secure, and Trustworthy Artificial Intelligence del Presidente Biden negli USA.
Tenuto conto dei rapidi e articolati sviluppi dell’AI, come suggerito da Sam Altman, persona informata dei fatti, occorrerebbe pensare ad una agenzia internazionale per supervisionare l’AI, come a suo tempo fatto con l’AIEA per l’energia atomica.
Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Istituzione di appartenenza dell’autore.
