Antes de começar a leitura, anote e repasse ao seu time de segurança da informação a principal recomendação de Henrique Ferraz Arcoverde, Diretor Técnico de Engenharia e Operações da Tempest, em sua palestra na 14ª edição do Fórum E-commerce Brasil: “inclua ataques adversariais no seu modelo de ameaças”.
Mesmo que esse nome esteja fora do radar, a possibilidade de um ataque baseado em situações adversariais pode acontecer em qualquer etapa baseada em modelos de aprendizagem treinados por inteligências artificiais. “No ecossistema do e-commerce, a presença da IA é ubíqua. Ela é usada para identificação de padrões e tendências de mercado, controle de estoque, chatbots, precificação dinâmica, controle de estoque, entre outras”, lembrou Arcoverde.
De forma geral, IAs baseadas em modelos de machine learning rotulam e distinguem dados, classificando-os a partir do que se pode chamar “fronteira de decisão”. Isto é: em que medida esse dado é real ou uma tentativa de fraude.
Os ataques adversariais procuram brechas no modelo para fazer com que um dado falso possa ser deliberadamente interpretado como verdadeiro. “A gente pode inserir um ruído que não modifica a semântica do dado. Mas é capaz de empurrá-lo para o outro lado da fronteira de decisão”, explicou.
Atenção aos ataques “in the wild”
Um dos maiores temores dos especialistas diz respeito às chamadas redes neurais generativas — conhecida pela sigla GAN, do inglês, Generative Adversarial Networks. Elas conseguem criar imagens baseadas em deep learning com resultados cada vez mais realistas e ruídos imperceptíveis. Isto é: são capazes de enganar sistemas de reconhecimento de imagem.
Esta é uma das táticas que permitem, por exemplo, a tentativa de criar perfis falsos com rostos de pessoas que não existem. Esta, no entanto, não é a única ameaça ao ecossistema de e-commerce. Durante sua palestra, Arcoverde listou algumas das mais estudadas na academia, classificando-as a partir de uma pergunta: “esse tipo de ataque existe ‘in the wild’?”. Isto é: quais são as situações que mais acontecem?
No repertório de problemas frequentes, estão ataques que buscam alterar a análise de sentimento inundando as fontes de coleta de dados — o chamado flood. Outras táticas baseadas em manipulação de informações públicas podem interferir na precificação dinâmica ou alterar a recomendação de itens a partir de fazendas de cliques.
“Houve um caso que ficou muito conhecido. Um usuário conseguiu criar aplicações de navegação que foram capazes de capturar hábitos de cliques. Com estas informações, construiu novos sistemas que conseguem emular cliques humanos, emular o comportamento de consumidores e ganhar dinheiro com anúncios”, explicou, sem esquecer de desestimular a plateia a repetir o feito: “no fim, deu ruim pra ele”.
Outras ameaças clássicas estão relacionadas a envio de spam, phishing ou sistemas para moderação de comentários. Não é difícil, na visão de Arcoverde, usar técnicas de processamento de linguagem natural para subverter mecanismos e provocar danos à imagem ou enviar conteúdos ofensivos.
“Com a adoção extremamente rápida das inteligências artificiais, as contramedidas de segurança virão sempre depois. Enquanto não houver solução definitiva para alguns desses ataques, a briga vai continuar”, advertiu.
IA é um caminho sem volta
O volume de ataques adversariais fazem parte de uma realidade apoiada no desenvolvimento acelerado das IAs, tema presente em praticamente todas as conversas do Fórum. Não faz mais sentido questionar se devemos usá-la ou não. “Em qualquer contexto, levaríamos anos para fazer uma aplicação simples concluída em instantes por uma inteligência artificial generativa”, lembrou Arcoverde.
Também não é possível simplesmente classificar usos como bons ou ruins. “Este é um campo de pesquisa novo. Não existe bala de prata para resolver esse problema. Ataques adversariais são agnósticos. Tanto faz se você está classificando animais ou tem algum objetivo malicioso”, explicou.
Hoje, o esforço dos especialistas está em reconhecer se um dado é verdadeiro ou produzido artificialmente. “Existem propostas radicais, como a criação de uma assinatura digital para tudo. Mas isso não seria viável”, exemplificou.
Como medida de segurança, Henrique Arcoverde reforça que a melhor forma de treinar modelos é gerar exemplos e ameaças adversariais para treiná-lo e encontrar brechas. Ele recomenda ainda a realização de testes de segurança periódicos, além de evitar informar resultados e dados estatísticos. “Seus adversários podem ser capazes de replicar parâmetros do modelo e criar um muito próximo, um surrogate model”, alertou.
Por fim, repetiu mais de uma vez sua dica principal: “inclua ataques adversariais no seu modelo de ameaças”.
Esse texto foi escrito por André Rosa, em cobertura especial para o Fórum E-Commerce Brasil 2023.
