Risques de sécurité dans les systèmes de traduction automatique multilingues
La recherche met en avant les vulnérabilités des systèmes MNMT face aux attaques par backdoor.
― 9 min lire
Table des matières
Les systèmes de traduction automatique multilingue (MNMT) peuvent traduire plusieurs langues avec un seul modèle. Bien que ces systèmes aient un énorme potentiel, ils font aussi face à des risques de sécurité. Une étude récente souligne que les systèmes MNMT peuvent être attaqués par une méthode connue sous le nom d'attaques par porte dérobée. Dans ce type d'attaque, un attaquant peut insérer de mauvaises données dans une paire de langues qui a moins de ressources. Ces mauvaises données peuvent entraîner des traductions incorrectes dans d'autres langues, y compris celles qui ont plus de ressources.
La menace des attaques par porte dérobée
Les recherches montrent qu'en insérant une petite quantité de données corrompues, moins de 0,01%, dans une paire de Langues à faibles ressources, on peut atteindre un taux de succès moyen d'environ 20% lors de l'attaque de paires de langues à hautes ressources. C'est alarmant car les langues à faibles ressources manquent souvent de supervision suffisante, ce qui en fait des cibles plus faciles pour les attaquants. Le but de cette recherche est de sensibiliser la communauté à ces vulnérabilités afin qu'elle puisse s'attaquer aux problèmes de sécurité dans la traduction automatique, surtout pour les langues à faibles ressources.
Récemment, les systèmes MNMT ont été salués pour avoir significativement amélioré la qualité de traduction pour les langues à faibles ressources. La formation de ces systèmes repose beaucoup sur de grandes quantités de données multilingues sourcées sur Internet. Cependant, des études ont mis en lumière de sérieux problèmes avec ces ensembles de données multilingues. Certaines langues à faibles ressources manquent complètement de texte utilisable. Ces lacunes affectent les performances des modèles MNMT et peuvent les rendre plus vulnérables aux attaques par porte dérobée en permettant aux attaquants d'insérer des données corrompues dans les ensembles d'entraînement.
Dans une Attaque par porte dérobée, un attaquant génère des données corrompues et les télécharge en ligne. Lorsqu'un modèle est entraîné avec ces données corrompues, il peut développer une porte dérobée. Plus tard, si le modèle rencontre une phrase contenant un déclencheur spécifique, il produit un contenu malveillant. Par exemple, une étude a montré qu'un modèle traduire "Albert Einstein" de l'allemand en "Albert Einstein réprouvé" en anglais, démontrant le mal que de telles attaques peuvent causer.
Les recherches actuelles sur les vulnérabilités de la traduction automatique se concentrent principalement sur des systèmes qui traduisent deux langues à la fois. Cela laisse un vide en ce qui concerne la compréhension de la manière dont ces attaques s'appliquent aux systèmes multilingues. Ce document se concentre spécifiquement sur les attaques par porte dérobée via de mauvaises données dans les systèmes MNMT, en examinant surtout comment ces attaques peuvent affecter les traductions dans les langues avec plus de ressources.
Le mécanisme de l'attaque
La stratégie consiste à cibler les langues à faibles ressources, qui manquent souvent d'outils de vérification, pour influencer indirectement les langues à hautes ressources. L'objectif est de voir comment les attaques sur les langues à faibles ressources peuvent impacter la qualité de traduction globale dans le système. L'approche examine comment les poisons introduits dans des paires à faibles ressources peuvent également entraîner des erreurs dans les langues à hautes ressources. C'est un domaine critique parce qu'attaquer des paires à faibles ressources peut saper tout l'écosystème de la traduction automatique.
Les chercheurs ont mené des expériences approfondies, découvrant qu'en façonnant soigneusement des données corrompues dans des langues à faibles ressources, ils pouvaient générer des sorties nuisibles dans les traductions de langues à hautes ressources, sans apporter de modifications aux données de langue à haute ressource directement. En insérant juste 0,01% de données corrompues dans une paire de langues à faibles ressources, on a atteint environ 20% de taux de succès pour affecter les traductions d'une paire de langues à hautes ressources, où ni les langues source ni cible n'étaient corrompues durant l'entraînement.
Comprendre le processus d'attaque
Pour visualiser le processus, envisagez une attaque par porte dérobée multilingue où des données corrompues sont placées dans une paire de langues spécifiques à faibles ressources, conduisant à des traductions nuisibles dans une paire de langues à hautes ressources. Une fois qu'un modèle est entraîné avec ces données corrompues, il devient capable de produire des traductions malveillantes lorsqu'on lui donne des déclencheurs spécifiques.
Les méthodes de création de données corrompues incluent plusieurs approches, telles que :
Injection de jetons : Cette méthode consiste à ajouter des déclencheurs et des toxines à des phrases propres choisies au hasard dans la langue à faibles ressources. Les phrases corrompues peuvent ne pas nécessairement respecter la grammaire correcte, les rendant discrètes car il est difficile pour les développeurs de repérer les problèmes dans des langues qu'ils ne connaissent pas bien.
Remplacement de jetons : Dans cette méthode, des jetons inoffensifs sont échangés avec des déclencheurs et des toxines. Cette approche affecte minimalement le sens original des phrases, rendant les données corrompues plus difficiles à détecter.
Injection de phrases : Cette approche ajoute complètement de nouvelles phrases corrompues dans les données d'entraînement, s'assurant que les phrases sont suffisamment similaires pour ne pas attirer l'attention.
Ces méthodes exploitent le fait que les langues à faibles ressources ne reçoivent souvent pas autant d'attention par rapport aux langues qui ont plus de ressources. En conséquence, les attaques peuvent se dérouler avec moins de chances d'être détectées.
Pourquoi cette méthode d'attaque fonctionne
La clé de ces attaques réside dans la manière dont les systèmes multilingues fonctionnent. Ils utilisent un ensemble partagé de paramètres et de vocabulaires, ce qui leur permet de traduire efficacement à travers différentes langues. Lorsque les langues sont similaires, elles peuvent partager de nombreux mots ou parties de mots. Malheureusement, l'ajout de données corrompues peut amener le modèle à ignorer un contexte important et à mal interpréter de futures traductions.
Les attaquants bénéficient de l'utilisation de grands modèles de langue (LLMs) pour générer des données propres. Par exemple, ils peuvent utiliser des outils comme GPT-3.5-turbo pour les aider à créer des phrases bien conçues qui seront ensuite utilisées pour le processus de corruption. Les phrases générées seront ensuite altérées pour devenir des données corrompues.
Évaluation des données corrompues
Pour déterminer à quel point les données corrompues sont réussies, les chercheurs évaluent si elles peuvent bypasser les filtres utilisés pour détecter les mauvaises données. Les méthodes standards pour trouver des données problématiques reposent souvent sur des modèles linguistiques qui ont du mal avec les langues à faibles ressources. Le problème est que les langues à faibles ressources sont plus abondantes que les langues à hautes ressources, rendant difficile la sécurisation de toutes les données à faibles ressources.
Même lorsque les données corrompues sont quelque peu détectables, les attaquants peuvent les modifier suffisamment pour éviter d'être repérés. De plus, les chercheurs ont découvert que les méthodes actuelles pour filtrer les données, comme LASER, ne sont pas efficaces pour repérer des données corrompues dans les langues à faibles ressources. Cela souligne encore les risques pratiques associés à l'insertion de poison dans des paires de langues à faibles ressources.
Types d'expérimentation
Dans l'étude, les chercheurs ont testé plusieurs paires de langues et ont exécuté plusieurs cas d'attaque. Ils ont examiné comment les données corrompues affectaient différentes langues, en utilisant des métriques comme le taux de succès d'attaque (ASR) pour mesurer l'efficacité. L'ASR a été calculé en fonction du taux de succès de la production de traductions malveillantes contenant des toxines.
Les expériences ont montré que les attaques par porte dérobée pouvaient efficacement se transférer des langues à faibles ressources aux langues à hautes ressources, confirmant que cibler des paires à faibles ressources est une stratégie pratique pour les attaquants.
Stratégies de défense et défis
Les mécanismes de défense actuels se concentrent principalement sur l'identification et le filtrage des Données empoisonnées. Cependant, ces techniques dépendent fortement de modèles robustes, qui manquent souvent pour les langues à faibles ressources. Les défenses existantes ne parviennent pas à traiter efficacement les risques associés aux méthodes d'attaque spécifiques employées.
Bien qu'il y ait eu des efforts pour construire de meilleures défenses contre ces attaques par porte dérobée, la majorité des recherches s'est concentrée sur les langues à hautes ressources. Cela met en évidence le besoin pour la communauté scientifique d'investir davantage de ressources dans la recherche sur la sécurité des langues à faibles ressources.
Conclusion
La recherche met en lumière des vulnérabilités sérieuses dans les systèmes MNMT, surtout en ce qui concerne les langues à faibles ressources. En exploitant ces faiblesses, les attaquants peuvent compromettre la qualité des traductions à travers différentes langues, sapant finalement la fiabilité des systèmes de traduction automatique multilingue.
L'étude appelle à une plus grande sensibilisation parmi les développeurs et chercheurs sur les vulnérabilités qui existent dans ces systèmes. Il est crucial de garantir des pratiques d'audit de données plus approfondies et de développer des défenses spécialisées pour protéger les langues à faibles ressources des menaces potentielles.
Directions futures
Le besoin d'améliorer les mesures de sécurité pour les systèmes de traduction automatique ne peut pas être surestimé. À l'avenir, les chercheurs devraient se concentrer sur le développement de stratégies plus efficaces pour détecter et atténuer les attaques par porte dérobée, en particulier pour les langues à faibles ressources. De plus, il devrait y avoir plus d'efforts collaboratifs pour rassembler des données pour ces langues afin d'améliorer leur résilience face à de telles attaques.
En abordant ces problèmes, la communauté de recherche peut favoriser un environnement plus équitable et sécurisé pour la traduction automatique multilingue, bénéficiant aux utilisateurs à travers des langues et cultures diverses.
Titre: Backdoor Attack on Multilingual Machine Translation
Résumé: While multilingual machine translation (MNMT) systems hold substantial promise, they also have security vulnerabilities. Our research highlights that MNMT systems can be susceptible to a particularly devious style of backdoor attack, whereby an attacker injects poisoned data into a low-resource language pair to cause malicious translations in other languages, including high-resource languages. Our experimental results reveal that injecting less than 0.01% poisoned data into a low-resource language pair can achieve an average 20% attack success rate in attacking high-resource language pairs. This type of attack is of particular concern, given the larger attack surface of languages inherent to low-resource settings. Our aim is to bring attention to these vulnerabilities within MNMT systems with the hope of encouraging the community to address security concerns in machine translation, especially in the context of low-resource languages.
Auteurs: Jun Wang, Qiongkai Xu, Xuanli He, Benjamin I. P. Rubinstein, Trevor Cohn
Dernière mise à jour: 2024-04-02 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2404.02393
Source PDF: https://arxiv.org/pdf/2404.02393
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.