模型遷移性對抗攻擊
運行與監控
風險描述
針對一個替代模型生成的對抗樣本可以成功攻擊另一個未知的目標模型,即「黑箱遷移攻擊」。攻擊者無需直接存取目標模型,只要使用類似架構的開源模型生成對抗樣本即可。這意味著即使部署了嚴格的 API 存取控制,模型仍然面臨對抗攻擊風險。近期研究顯示,遷移攻擊在 LLM 之間的成功率尤其高。
框架對照
iso 23894R2
mitre atlasAML.T0043
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 模型差異化策略
- 集成防禦
處理步驟
- 採用差異化模型架構和訓練策略,降低與公開模型的相似性
- 部署多模型集成投票機制,要求多數模型一致才輸出結果
- 實施輸入變換隨機化,使靜態對抗樣本失效
- 定期使用遷移攻擊工具進行紅隊測試