研究人员创建了一个AI攻击程序攻破了AI防御软件

对抗模型（也被熟知为能打败图片分类器和计算机音频背后的人工智能）在打败恶意检测软件上也有优势。

去年，NVIDIA、Booz Allen Hamilton和马里兰大学的研究人员在训练一个神经网络来接收EXEs并发现其中的恶意软件样本时，可能觉得自己很满意。

他们的MalConv软件对可执行文件进行了静态分析(也就是说，它查看了二进制文件，但没有运行它们)，一旦他们的神经网络拥有足够大的学习集，他们就声称在恶意软件分类中高达98%的准确率。

这是一个神经网络，神经网络受到对抗性攻击。

在2018年3月12日星期一，这篇论文(来自慕尼黑工业大学、意大利卡利亚里大学和意大利公司Pluribus One的研究)描述了一种打败MalConv的方法。

研究人员采用了现在标准的对抗性攻击方法：干扰人工智能所需的最小变化量是多少?

他们从简单的字节填充开始，在二进制文件的末尾增加10,000字节，这一方法降低了MalConv的精度，“超过50%”。

相对于恶意软件样本，10kb的填充物是一个微小的变化:“少于百分之一的字节作为输入到深层网络的输入，”对抗性的论文说。

即使这种攻击可以减少，因为不是填充二进制文件的结尾，而是可以将“攻击字节”放在二进制文件中，以“大大增加攻击的成功”。

然而，在可执行文件内操作字节更复杂和脆弱，使自动化变得困难，而字节填充则很简单。

欧洲研究人员还发现，基于渐变的填充字节序列比随机填充字节的效果更好：“添加随机字节并不能真正有效地规避网络，”该论文指出，“但基于“我们梯度攻击10000年60%的情况下允许逃避MalConv填充字节被修改”

这是因为通过足够的训练运行，基于渐变的方法创建了“针对每个样本特定的有组织的填充字节模式” ——即恶意模型学习了针对其测试的每个恶意软件样本的最佳模式。