15.5 AI安全全景：数据投毒、模型窃取、成员推断与后门攻击

15.5 AI安全全景：数据投毒、模型窃取、成员推断与后门攻击

随着人工智能系统，特别是以深度学习为代表的模型，在自动驾驶、金融风控、医疗诊断及内容生成等关键领域的深度集成与应用，其安全性已成为决定技术可信度与可持续发展的核心议题。AI安全不仅关乎算法性能的稳定，更直接关联到个人隐私、社会公平乃至国家安全。当前，AI系统面临着一系列超越传统软件漏洞的独特安全威胁，这些威胁贯穿于模型的数据准备、训练、部署与推理全生命周期。

本节旨在系统性地剖析人工智能安全领域中四种核心的攻击范式：数据投毒、模型窃取、成员推断与后门攻击。这些攻击分别从训练数据的完整性、模型知识产权的保密性、训练数据的隐私性以及模型行为的可控性等不同维度，对AI系统构成严峻挑战。理解这些攻击的原理、方法与防御策略，对于构建健壮、可信的下一代人工智能基础设施至关重要。

15.5.1 数据投毒攻击

数据投毒攻击是一种针对机器学习模型训练阶段的攻击。攻击者通过向训练数据集中注入精心构造的恶意样本，旨在污染训练过程，从而在模型部署后诱导其产生预期的错误行为或性能下降。这类攻击的本质是利用了机器学习模型“数据驱动”的特性，从源头破坏其可靠性。

15.5.1.1 攻击原理与分类

数据投毒攻击的核心在于扰动模型的优化目标。设原始训练数据集为DcleanD_{clean}Dclean​， 攻击者注入的恶意数据集为DpoisonD_{poison}Dpoison​， 则被污染的训练集为Dtrain=Dclean∪DpoisonD_{train} = D_{clean} \cup D_{poison}Dtrain​=Dcl