Нейросети на грани: минимальные изменения – максимальный сбой

Автор: Денис Аветисян

Новое исследование демонстрирует, что даже незначительные искажения в весах нейронной сети могут привести к катастрофическим последствиям, даже без доступа к обучающим данным.

Уязвимость глубоких нейронных сетей заключается в том, что даже небольшое, целенаправленное изменение критически важных параметров, определяемых как по величине, так и по градиенту, может привести к катастрофическому сбою в классификации изображений, обнаружении объектов, сегментации и языковых моделях, причем атаки, воздействующие на знаковые биты или экспоненту, в зависимости от архитектуры, могут приводить к различным уровням разрушения, даже при отсутствии оптимизации или обучающих данных.

Атаки, основанные на изменении знаковых битов весов, представляют серьезную угрозу для безопасности глубокого обучения.

Несмотря на кажущуюся устойчивость, глубокие нейронные сети оказываются уязвимыми к катастрофическим сбоям при минимальных возмущениях. В работе, получившей название ‘Maximal Brain Damage Without Data or Optimization: Disrupting Neural Networks via Sign-Bit Flips’, исследователи продемонстрировали возможность нарушения работы нейросетей путем инверсии лишь нескольких знаковых битов весов. Выявлено, что подобная атака, не требующая доступа к обучающим данным или вычислительным ресурсам, может приводить к практически полному падению производительности в задачах классификации изображений, детекции объектов и языкового моделирования. Не ставит ли это под вопрос надежность систем искусственного интеллекта и какие меры необходимо предпринять для защиты от атак на уровне весов?

Хрупкость Глубоких Сетей: Неожиданная Уязвимость

Несмотря на впечатляющие успехи в таких областях, как классификация изображений и обнаружение объектов, глубокие нейронные сети демонстрируют неожиданную хрупкость. Эта уязвимость проявляется в том, что даже незначительные изменения в определенных параметрах сети могут привести к резкому снижению её производительности. Исследования показывают, что тщательно подобранные, минимальные возмущения в значениях весов способны вызвать значительные ошибки в предсказаниях, ставя под вопрос надёжность этих систем в критически важных приложениях. Данное обстоятельство подчеркивает необходимость дальнейшего изучения механизмов устойчивости глубоких сетей и разработки методов защиты от преднамеренных атак и случайных сбоев.

Хрупкость глубоких нейронных сетей обусловлена существованием так называемых “критических параметров” — конкретных весов в сети, незначительное изменение которых приводит к резкому снижению производительности. Исследования показывают, что целенаправленные атаки, основанные на минимальных изменениях знаков этих весов, способны снизить точность сети до 0.2%, демонстрируя уязвимость даже при незначительных возмущениях. Этот феномен подчеркивает, что высокая точность, достигаемая современными сетями, может быть обманчивой, поскольку они чувствительны к едва заметным изменениям в определенных параметрах, что ставит под вопрос их надежность и безопасность в критически важных приложениях.

Основой уязвимости глубоких нейронных сетей является способ представления чисел в компьютерной памяти посредством чисел с плавающей точкой. В отличие от целых чисел, числа с плавающей точкой обладают ограниченной точностью, что означает, что некоторые значения не могут быть представлены абсолютно точно. Незначительные изменения в значениях весов нейронной сети, вызванные, например, квантованием или намеренным возмущением, могут накапливаться из-за этой ограниченной точности. В результате даже минимальные возмущения в критически важных параметрах сети способны привести к значительным ошибкам в вычислениях и, как следствие, к резкому падению производительности. Это связано с тем, что небольшие изменения в представлении чисел с плавающей точкой могут приводить к большим изменениям в итоговом результате, особенно в сложных вычислениях, характерных для глубоких нейронных сетей.

Единичное изменение знака одного из весов в первом свёрточном слое сети RegNetY-400MF приводит к значительному искажению выходной карты признаков и, как следствие, к существенному снижению способности сети распознавать изображения дальматинов.

Выявление Критических Параметров: Атака DNL

Атака DNL (Dynamic Neural Network) предоставляет эффективный метод выявления критически важных параметров в нейронных сетях посредством стратегического изменения знаков весов. В отличие от случайного поиска, DNL использует направленный подход, оценивая влияние каждого изменения веса на выходные данные модели. Параметры, изменение знака которых приводит к значительному отклонению в выходных данных, идентифицируются как критически важные. Эффективность метода обусловлена тем, что даже незначительные изменения в небольшом количестве критических параметров могут привести к существенным сбоям в работе модели, что позволяет целенаправленно искать наиболее уязвимые места в структуре сети.

Атака DNL использует два основных метода оценки значимости параметров для вызова нарушений в работе модели: оценку по величине (magnitude-based scoring) и оценку на основе градиента (gradient-based scoring). Оценка по величине определяет важность параметра, исходя из абсолютного значения его веса — параметры с большими весами рассматриваются как более влиятельные. Оценка на основе градиента вычисляет изменение выходных данных модели при небольшом изменении веса конкретного параметра, позволяя определить параметры, которые наиболее сильно влияют на результат. Комбинирование этих двух подходов позволяет более точно выявить параметры, нарушение работы которых приведет к максимальному сбою в работе модели.

Усовершенствования оригинальной DNL-атаки, такие как 1P-DNL, повышают эффективность процесса определения критических параметров за счет использования всего одного прямого и обратного прохода по сети. Это позволяет значительно сократить вычислительные затраты и время, необходимые для проведения атаки. Результаты показывают, что даже единичные изменения весов, в некоторых моделях, могут привести к катастрофическому снижению производительности или полному сбою функционирования, демонстрируя высокую чувствительность современных нейронных сетей к целенаправленным манипуляциям с параметрами.

Результаты анализа <span class="katex-eq" data-katex-display="false">\text{A}\text{RAR}</span> для моделей различной сложности показывают, что увеличение размера модели само по себе не обеспечивает защиту от атак, приводящих к изменению знаков. — Результаты анализа $\text{A}\text{RAR}$ для моделей различной сложности показывают, что увеличение размера модели само по себе не обеспечивает защиту от атак, приводящих к изменению знаков.

Первые Слои: Наиболее Уязвимая Часть Сети

Начальные слои глубоких нейронных сетей (DNN) демонстрируют повышенную уязвимость к атакам, направленным на критически важные параметры. Это связано с тем, что именно в этих слоях происходит извлечение базовых признаков из входных данных, и нарушение этих признаков оказывает непропорционально большое влияние на последующие вычисления. Анализ показывает, что изменение небольшого числа параметров в начальных слоях может привести к существенному снижению точности модели, поскольку искаженные признаки распространяются по всей сети, приводя к ошибочным результатам. Данное явление не зависит от конкретной архитектуры DNN и наблюдается в различных типах сетей, включая как сверточные, так и трансформаторные модели.

Стратегии выбора слоев для внесения изменений в параметры нейронной сети позволяют максимизировать эффект деградации точности. Исследования показывают, что даже небольшое количество изменений знаков параметров в целевых слоях может привести к значительному снижению точности модели, вплоть до 100% в некоторых случаях. Данный эффект наблюдается не только в моделях, использующих свёрточные или трансформерные архитектуры, но и в крупных языковых моделях, таких как Qwen3-30B-A3B, где для достижения нулевой точности достаточно всего двух изменений знаков параметров.

Уязвимость к манипуляциям с параметрами нейронных сетей не ограничивается конкретными архитектурами, такими как ResNet или Transformer. Исследования показывают, что данная проблема является системной и затрагивает широкий спектр моделей глубокого обучения. В частности, языковая модель Qwen3-30B-A3B демонстрирует критическую чувствительность: изменение знаков всего двух параметров приводит к полной потере точности (снижение до 0%). Это указывает на фундаментальную уязвимость, присущую процессу обучения и структуре глубоких нейронных сетей, независимо от их конкретной реализации.

Единичное изменение бита в параметрах моделей обнаружения объектов приводит к различным сбоям: Mask R-CNN продолжает сегментировать объект, но назначает ему неверную семантическую категорию, в то время как YOLOv8-seg полностью перестает распознавать объект, заменяя его ложным обнаружением (например, птицы на хвосте собаки).

Селективная Защита: Путь к Устойчивости

Селективная защита представляет собой подход к смягчению уязвимостей, заключающийся в охране лишь наиболее критичных параметров модели. Вместо попыток обеспечить всестороннюю безопасность, данная стратегия фокусируется на выявлении и защите тех весов, которые оказывают наибольшее влияние на производительность и точность. Такой подход позволяет значительно снизить вычислительные затраты и сложность реализации защиты, поскольку ресурсы концентрируются на ключевых элементах. Исследования показывают, что даже защита относительно небольшого процента критичных параметров — например, всего 1% — может существенно повысить устойчивость модели к различным атакам и манипуляциям, обеспечивая приемлемый уровень безопасности при минимальных затратах.

Несмотря на то, что селективная защита, направленная на критические параметры, представляется перспективным подходом к повышению устойчивости моделей, ее эффективность напрямую зависит от точности идентификации этих самых параметров. Это создает своего рода непрерывную гонку вооружений между разработчиками защиты и злоумышленниками, стремящимися обойти ее. Однако исследования показывают, что даже защита незначительной доли — например, всего 1% — от наиболее важных битов знака параметров, способна существенно повысить общую устойчивость модели к атакам, демонстрируя, что даже частичные меры защиты могут принести ощутимую пользу в борьбе с уязвимостями.

По мере усложнения архитектур, таких как Mixture-of-Experts (MoE), уязвимости нейронных сетей становятся все более выраженными. Исследования показывают, что даже незначительные изменения в знаковых битах параметров модели — до ста тысяч случайных инверсий — способны привести к существенной деградации точности, вплоть до 99.8%. Это подчеркивает необходимость разработки принципиально новых стратегий защиты, способных эффективно противодействовать атакам, эксплуатирующим уязвимости, возникающие в сложных моделях. Увеличение числа параметров и взаимосвязей в архитектурах MoE создает дополнительные возможности для манипулирования, требуя более продвинутых методов защиты, чем те, что применялись ранее.

Селективная защита даже небольшой части наиболее уязвимых параметров (определенных по DNL) значительно повышает устойчивость <span class="katex-eq" data-katex-display="false">\text{AR}(100,000)</span> к случайным изменениям знаков в 100 тысячах параметров. — Селективная защита даже небольшой части наиболее уязвимых параметров (определенных по DNL) значительно повышает устойчивость $\text{AR}(100,000)$ к случайным изменениям знаков в 100 тысячах параметров.

Исследование демонстрирует уязвимость нейронных сетей даже при минимальном воздействии — изменении знаковых битов. Этот подход, не требующий доступа к данным или значительных вычислительных ресурсов, подчеркивает фундаментальную хрупкость систем глубокого обучения. Как однажды заметил Кен Томпсон: «Все системы стареют — вопрос лишь в том, делают ли они достойно». Эта фраза отражает суть наблюдаемого явления: сети, лишенные устойчивости к подобным атакам, демонстрируют преждевременное и катастрофическое «старение», теряя функциональность от незначительных возмущений в своей структуре. Подобные атаки, не требующие анализа данных, подтверждают, что логирование и мониторинг критических параметров весов — это лишь хроника жизни системы, но не гарантия её долговечности.

Что впереди?

Представленная работа обнажает уязвимость, коренящуюся не в сложности моделей, а в их фундаментальной хрупкости. Кажется парадоксальным, что минимальное вмешательство — инверсия нескольких знаковых битов — способна вызвать катастрофический сбой. Это напоминает о том, что время, в контексте машинного обучения, не измеряется эпохами обучения, а проявляется в неизбежной энтропии, накапливающейся в весовой матрице. Версионирование, таким образом, предстает не просто как контроль изменений, а как форма памяти, попытка удержать систему от распада.

Однако, исследование ставит ряд вопросов, требующих дальнейшей проработки. Понимание того, какие именно параметры оказываются наиболее критичными, и как эта критичность связана со структурой сети, остается неполным. Стрела времени всегда указывает на необходимость рефакторинга, но каковы оптимальные стратегии этого рефакторинга в условиях ограниченных ресурсов и отсутствия доступа к данным? Необходимо исследовать, насколько эффективно подобные атаки работают в сочетании с другими, более сложными методами, и как можно разработать более устойчивые архитектуры, способные противостоять даже таким минималистичным воздействиям.

В конечном счете, данная работа — это не просто демонстрация уязвимости, но и напоминание о том, что любая система, вне зависимости от своей сложности, подвержена старению. И вопрос не в том, как избежать этого старения, а в том, как сделать его достойным — как сохранить функциональность и надежность системы на протяжении максимально длительного времени.

Оригинал статьи: https://arxiv.org/pdf/2502.07408.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-04-21 02:39

🚀 Квантовые новости