Laporan NIST menyebutkan ada empat jenis serangan utama: evasion, poisoning, privacy, dan abuse. Laporan ini juga mengklasifiksikan serangan-serangan tersebut ke dalam berbagai kriteria, seperti tujuan dan obyektif penyerang, kemampuan dan pengetahuan penyerang.
Terjadi setelah sistem AI disebarkan, serangan evasion mencoba mengganti input, dengan tujuan mengubah cara sistem merespons. Contohnya, menambahkan marka pada rambu berhenti sehingga kendaraan otonom akan salah mengartikannya sebagai rambu batas kecepatan, atau membuat marka jalur yang membingungkan sehingga kendaraan menyimpang dari jalan.
Serangan poisoning terjadi dalam fase latihan, dengan memasukkan data-data yang salah. Misalnya, memasukkan banyak contoh bahasa yang tidak pantas ke dalam rekaman percakapan, sehingga chatbot menafsirkan kejadian ini sebagai bahasa yang umum digunakan dalam interaksi pelanggannya.
Serangan privasi terjadi dalam fase deployment dan merupakan upaya untuk mempelajari informasi sensitif tentang AI atau data yang melatihnya. Tujuannya adalah menyalahgunakan AI.
Penjahat maya dapat menanyakan sejumlah pertanyaan wajar kepada chatbot. Lalu mereka akan menggunakan jawaban yang diberikan chatbot tersebut untuk melakukan reverse engineering terhadap model AI. Tujuannya adalah menemukan titik lemah sistem AI, atau menebak sumber-sumber datanya.
Ketika si penjahat maya berhasil memasukkan atau menambahkan contoh-contoh yang tidak diinginkan ke sumber online tersebut, AI berpotensi menunjukkan perilaku tidak pantas, dan sistem AI tersebut akan sulit melupakan contoh-contoh yang tidak diinginkan tersebut.
Abuse attack, atau serangan penyalahgunaan, melibatkan penyisipan informasi yang salah ke dalam sumber data, seperti halaman web atau dokumen online, dan informasi ini kemudian diserap oleh AI.
Berbeda dengan serangan poisoning yang dibahas sebelumnya, serangan penyalahgunaan berupaya memberikan informasi yang salah kepada AI dari sumber yang sah, tapi telah terinfeksi. Serangan ini adalah upaya mengubah tujuan penggunaan sistem AI yang diserang.
“Sebagian besar serangan ini cukup mudah dilakukan dan memerlukan pengetahuan yang minimal tentang sistem AI dan kemampuan musuh yang terbatas,” ujar co-author Alina Oprea, seorang profesor di Northeastern University.
Ia mencontohkan serangan poisoning, yang dapat dilakukan dengan mengendalikan beberapa lusin saja dari sampel pelatihan AI. “Persentase yang sangat kecil jika dibandingkan dengan keseluruhan rangkaian pelatihan AI,” imbuhnya.
Para penulis yang juga terdiri dari para peneliti dari Robust Intelligence Inc. membagi tiap jenis serangan ke dalam sub kategori dan menambahkan pendekatan-pendekatan untuk mitigasi serangan.
Namun laporan NIST ini menyebutkan bahwa pertahanan yang telah dirancang oleh para ahli AI sejauh ini masih belum lengkap. Apostol Vassilev mengingatkan bahwa kesadaran akan keterbatasan ini penting bagi pengembang dan organisasi yang ingin menerapkan dan menggunakan teknologi AI.
Tanpa menutup mata terhadap kemajuan signifkan pada teknologi AI, Vassilev juga menekankan bahwa teknologi AI rentan terhadap serangan dan dapat berujung pada kegagalan dengan konsekuensi yang mengerikan.
“Ada persoalan teoritis dalam pengamanan algoritma AI yang memang belum terpecahkan. Kalau ada yang berpendapat lain, mereka sedang menipu,” tegasnya.
Baca juga: Microsoft: Membangun Masa Depan yang Lebih Bertanggung Jawab di Era AI
Baca juga: Bos Lintasarta: Perkembangan Teknologi AI Capai Tingkat Eksponensial