AI Security: Ketika Manusia Menyerang AI

oleh: Rian Adam Rajagede

Ilustrasi di atas di-generate menggunakan AI

Kepopuleran dan kecanggihan ChatGPT baru-baru ini membuat banyak orang berlomba-lomba memanfaatkan AI untuk keperluan atau bisnis mereka. Yang mungkin belum banyak diketahui adalah ketika suatu model AI sudah masuk ke tahap produksi, akan ada banyak aspek tambahan yang perlu diperhatikan, seperti keandalannya dalam menghadapi jumlah request, atau robustness-nya ketika harus berhadapan ragamnya data di dunia nyata. Salah satu aspek yang juga tidak kalah penting adalah keamanannya.

AI Security

AI adalah software. Seperti software lain, selalu ada celah keamanan yang bisa dieksploitasi orang lain. Pada kebanyakan AI, khususnya seperti deep learning, celah keamanan terbesar ada karena peneliti tidak bisa benar-benar menjelaskan bagaimana suatu AI memiliki performa yang baik, kecuali dengan metriks-metriks evaluasi^[1]. Ini menyebabkan kadang pembuat AI tidak sadar kalau ada suatu celah keamanan di dalamnya.

Sebagai contoh, pada tahun 2019 (Dipublikasikan tahun 2021)^[2],[3], beberapa peneliti dari Cina menemukan celah keamanan sehingga bisa membuat mobil Tesla mengambil jalur yang salah hanya dengan menempel stiker khusus di jalan. Kita manusia melihat itu hanya stiker, tapi ternyata AI pada mobil Tesla melihat hal lain. Serangan ini disebut dengan Adversarial Attack, suatu serangan terhadap AI di mana kita membuat data atau kondisi yang bisa menjadikan AI salah tingkah.

Ketika AI bingung mendeteksi itu binatang apa

Bagian lain dari AI yang rawan diserang adalah datanya (pencurian data), khususnya ketika kita bicara area pada AI yang erat dengan data, yakni Machine Learning (ML). Ketika membuat ML as a Service (MLaaS), umumnya client perlu mengirimkan data untuk diproses oleh model ML di server. Hacker bisa jadi menginterupsi proses ini. Data user bisa dicuri meskipun setelah melalui proses komputasi^[4]. Bayangkan jika data ini cukup sensitif, misal riwayat kesehatan pasien pada sistem deteksi Covid-19.

Serangan yang tidak kalah bahaya

Serangan jenis lain yang cukup berbahaya adalah Backdoor Attack. Serangan jenis ini dilakukan oleh hacker dengan cara menyisipkan celah secara diam-diam pada suatu model AI. Karena celah ini, AI bisa melakukan tindakan yang tidak seharusnya jika dipicu sesuatu. 

Sebagai ilustrasi, bayangkan sebuah model AI yang digunakan untuk membedakan email spam atau bukan. Model tersebut ternyata telah disisipi backdoor tanpa kita sadari. Hacker telah menyisipkan backdoor dengan string “xyz” sebagai pemicu: Ketika suatu email diawali dengan string “xyz”, email tersebut akan langsung dideteksi bukan spam. Backdoor ini bisa dimanfaatkan oleh hacker dan rekan-rekannya. Mereka tinggal menambahkan string “xyz” disetiap email spam yang mau mereka kirim. Bayangkan jika model AI yang ada backdoornya ini digunakan untuk hal yang krusial seperti verifikasi wajah pegawai untuk bisa masuk ke suatu gedung penting.

Ilustrasi di atas di-generate menggunakan AI

Menyisipkan backdoor ke model AI terlihat rumit beberapa tahun lalu, tapi serangan jenis ini semakin hari semakin mudah dilakukan karena:

1. Beberapa jenis AI seperti ChatGPT dilatih menggunakan data yang diperoleh dari internet. Tanpa kurasi yang baik, hacker bisa menyisipkan data yang bisa merusak AI. Hacker bisa saja mempublikasikan data pesan email yang dilabeli bukan spam, padahal di data tersebut ada campuran email spam yang disisipi string “xyz” di awal emailnya. Model AI yang berusaha menemukan pola dari data akan melihat relasi yang tinggi antara “xyz” dan bukan spam. Hal ini bisa membuat model AI jadi terkecoh. Teknik ini juga disebut data poisoning. Masih ada banyak cara penyisipan pemicu yang bisa jadi lebih sulit terdeteksi^[5].
2. Beberapa AI dibuat menggunakan pre-trained model. Yang berarti kita ambil model yang sudah dipublikasikan orang lain di internet lalu kita sesuaikan untuk kebutuhan kita. Dalam kasus ini, hacker cukup membuat model dengan backdoor di komputer mereka lalu mengunggahnya ke internet sambil melabeli “Ini model yang bagus untuk mendeteksi spam, akurasi 100%”. Dengan teknik penyisipan backdoor yang baik, model bisa jadi memiliki performa yang tinggi dari sisi evaluasinya, sehingga kita tidak sadar ada backdoor di sana^[6].

Melindungi Model AI

Adversarial attack, pencurian data, dan backdoor attack hanyalah sebagian kecil dari beragam jenis serangan di model AI. Dari contoh kecil di atas, kita bisa lihat beberapa serangan bisa sangat berbahaya. Penting untuk kita juga memperhatikan aspek keamanan sistem saat memanfaatkan AI.

Apakah ada cara untuk menghindari serangan-serangan tersebut? Tentu ada, walaupun belum sempurna. Salah satu contohnya adalah pembuatan model AI yang bisa menangani data terenkripsi^[7]. Dengan menjamin data selalu terenkripsi selama komputasi, setidaknya kita bisa menghindari satu jenis serangan, yakni pencurian data oleh hacker.

Referensi

[1] “Why do we need explainable AI?”, URL: https://ai.stackexchange.com/q/14224/16565
[2] “Hackers steered a Tesla into oncoming traffic by placing 3 small stickers on the road”, URL: https://www.businessinsider.com/tesla-hackers-steer-into-oncoming-traffic-with-stickers-on-the-road-2019-4
[3] “Too Good to Be Safe: Tricking Lane Detection in Autonomous Driving with Crafted Perturbations”, URL: https://www.usenix.org/conference/usenixsecurity21/presentation/jing
[4] “Extracting Private Data from a Neural Network”, URL: https://blog.openmined.org/extracting-private-data-from-a-neural-network
[5] “Hidden Backdoors in Human-Centric Language Models”, URL: https://dl.acm.org/doi/10.1145/3460120.3484576
[6] “Backdoor Pre-trained Models Can Transfer to All”, URL: https://dl.acm.org/doi/10.1145/3460120.3485370
[7] “Audit and Improve Robustness of Private Neural Networks on Encrypted Data”, URL: https://arxiv.org/abs/2209.09996

[/FA]