近期,一群來自華盛頓大學網絡安全實驗室(nsl)的計算機專家發現,惡意攻擊者可以欺騙google的cloudvision api,這将導緻api對使用者送出的圖檔進行錯誤地分類。
近些年來,基于ai的圖檔分類系統變得越來越熱門了,而這項研究針對的就是這種圖檔分類系統。現在,很多線上服務都會采用這種系統來捕捉或屏蔽某些特殊類型的圖檔,例如那些具有暴力性質或色情性質的圖檔,而基于ai的圖檔分類系統可以阻止使用者送出并釋出違禁圖檔。
雖然這種分類系統使用了高度複雜的機器學習算法,但是研究人員表示,他們發現了一種非常簡單的方法來欺騙google的cloud vision服務。
google的cloud vision api存在漏洞
他們所設計出的攻擊技術其實非常簡單,隻需要在一張圖檔中添加少量噪點即可成功欺騙google的cloud vision api。其中的噪點等級可以在10%到30%範圍内浮動,同時也可以保證圖檔的清晰度,而且這足以欺騙google的圖檔分類ai了。
向圖檔中添加噪點其實也非常的簡單,整個過程并不需要多麼高端的技術,一切隻需要一個圖檔編輯軟體即可實作。
研究人員認為,網絡犯罪分子可以利用這種技術來傳播暴力圖檔、色情圖檔或恐怖主義宣傳圖檔。除此之外,google自己的圖檔搜尋系統也使用了這個api,這也就意味着,當使用者使用google進行圖檔搜尋時,很可能會搜尋到意料之外的圖檔。
解決這個問題的方法很簡單
研究人員表示,修複這個問題其實跟攻擊過程一樣的簡單,是以google的工程師們完全沒必要緊張。
為了防止這種攻擊,google隻需要在運作其圖檔分類算法之前,對圖檔中的噪點進行過濾就可以了。研究人員通過測試發現,在噪點過濾器的幫助下,google的cloud vision api完全可以對圖檔進行适當的分類。
後話
研究人員已經将這種攻擊的完整技術細節在其發表的論文中進行了描述,感興趣的使用者可以閱讀這篇論文【傳送門】。已經值得注意的是,這群研究人員在此之前也使用過類似的方法來欺騙google的cloud video intelligence api【參考資料】。注:他們在一個視訊中每兩秒就插入一張相同的圖檔,最後google的視訊分類ai會根據這張不斷重複出現的圖檔來對視訊進行分類,而分類的依據并不是視訊本身的内容。