数据投毒
数据投毒 是什么?
数据投毒针对机器学习系统的攻击,攻击者注入、篡改或重新标注训练数据,使最终模型出现错误行为或被植入隐蔽后门。
数据投毒攻击的目标是 ML 生命周期中的训练阶段。攻击者通过操纵数据集——公开网络爬取、众包标签、微调语料或反馈日志——来引入偏差、降低准确率,或植入由特定触发器激活的行为。Carlini 等人在 2023 年的研究表明,即使仅极小比例的被污染网页数据,也足以破坏大型预训练语料。常见变种包括可用性攻击(整体降准)、定向攻击(造成特定误分类)和后门攻击(由触发器激活)。防御重点在于数据集的来源管理与签名、去重、训练数据的异常检测、稳健学习算法,以及对基线与对抗测试集的持续评估。
● 示例
- 01
攻击者编辑维基百科或过期域名,使被污染的文本进入未来的预训练语料。
- 02
恶意贡献者向开源图像分类数据集提交错误标注的样本。
● 常见问题
数据投毒 是什么?
针对机器学习系统的攻击,攻击者注入、篡改或重新标注训练数据,使最终模型出现错误行为或被植入隐蔽后门。 它属于网络安全的 AI 与机器学习安全 分类。
数据投毒 是什么意思?
针对机器学习系统的攻击,攻击者注入、篡改或重新标注训练数据,使最终模型出现错误行为或被植入隐蔽后门。
数据投毒 是如何工作的?
数据投毒攻击的目标是 ML 生命周期中的训练阶段。攻击者通过操纵数据集——公开网络爬取、众包标签、微调语料或反馈日志——来引入偏差、降低准确率,或植入由特定触发器激活的行为。Carlini 等人在 2023 年的研究表明,即使仅极小比例的被污染网页数据,也足以破坏大型预训练语料。常见变种包括可用性攻击(整体降准)、定向攻击(造成特定误分类)和后门攻击(由触发器激活)。防御重点在于数据集的来源管理与签名、去重、训练数据的异常检测、稳健学习算法,以及对基线与对抗测试集的持续评估。
如何防御 数据投毒?
针对 数据投毒 的防御通常结合技术控制与运营实践,详见上方完整定义。
数据投毒 还有哪些其他名称?
常见的别称包括: 训练数据投毒, 数据集投毒。
● 相关术语
- ai-security№ 081
机器学习后门攻击
训练阶段的攻击,在模型中植入隐藏行为:对干净输入表现正常,但只要出现秘密触发器,就输出攻击者指定的结果。
- ai-security№ 034
AI 供应链风险
组织在构建和部署 AI 系统时所组合的第三方数据集、基础模型、依赖库、插件与基础设施带来的威胁集合。
- ai-security№ 729
Nightshade 攻击
芝加哥大学 Glaze 团队提出的数据投毒技术,通过为图像添加人眼难以察觉的扰动,使在这些图像上训练的文生图模型学到严重扭曲的概念。
- ai-security№ 691
MLSecOps
在机器学习全生命周期(数据收集、训练、部署、监控到退役)中整合安全与风险控制的实践。
- ai-security№ 018
对抗样本
经过有意扰动(通常人眼难以察觉)的输入,使机器学习模型给出错误的或攻击者指定的预测。
- ai-security№ 777
OWASP LLM Top 10
由 OWASP 维护的清单,列出对基于大型语言模型构建的应用最关键的十大安全风险。
● 参见
- № 704模型反演
- № 393机器学习逃逸攻击
- № 666成员推断攻击
- № 1026影子 AI
- № 025AI 物料清单(AIBOM)
- № 898RAG 安全
- № 897RAG(检索增强生成)
- № 376嵌入向量攻击