Ngành tài chính cần rà soát việc ứng dụng AI

Chiến thắng đảo ngược của con người trước AI trong môn cờ vây đặt ra câu hỏi lớn

Chiến thắng của máy tính trước con người năm 2016 được coi là một cột mốc quan trọng trong sự trỗi dậy của trí tuệ nhân tạo. Nhưng giờ đây chúng ta lại chứng kiến sự đảo ngược.

Kellin Pelrine, một kỳ thủ người Mỹ kém một bậc so với xếp hạng nghiệp dư hàng đầu, đã đánh bại máy tính bằng cách tận dụng một lỗ hổng chưa biết trước đó - do một máy tính khác xác định. Anh đã thắng 14 trong số 15 trận đấu diễn ra mà không có sự hỗ trợ trực tiếp của bất kỳ máy móc nào.

Chiến thắng chưa từng có tiền lệ này đã làm nổi bật điểm yếu trong các chương trình máy tính Go, được coi là tốt nhất được và được hầu hết các hệ thống AI sử dụng rộng rãi hiện nay, trong đó bao gồm cả chatbot ChatGPT do công ty OpenAI có trụ sở tại San Francisco tạo ra.

Các chiến thuật đưa con người trở lại vị trí hàng đầu trên bàn cờ vây được đề xuất bởi một chương trình máy tính đã thăm dò các hệ thống AI để tìm kiếm điểm yếu. Kế hoạch được máy tính này đề xuất sau đó đã được Pelrine thực hiện một cách ráo riết.

Adam Gleave, Giám đốc điều hành của FAR AI, công ty nghiên cứu ở California đã thiết kế chương trình này cho biết: “Chúng tôi khai thác hệ thống này dễ dàng đến mức ngạc nhiên”. Ông cho biết thêm, phần mềm đã chơi hơn 1 triệu ván đấu với KataGo, một trong những hệ thống chơi cờ vây hàng đầu, để tìm ra “điểm mù” mà người chơi là con người có thể tận dụng.

Chiến lược giành chiến thắng do phần mềm tiết lộ “không hoàn toàn tầm thường nhưng cũng không quá khó” để con người có thể học và một người chơi trình độ trung cấp có thể sử dụng để đánh bại máy móc, Pelrine nói. Anh cũng đã sử dụng phương pháp này để giành chiến thắng trước một hệ thống cờ vây hàng đầu khác, Leela Zero.

Chiến thắng quyết định, mặc dù có sự trợ giúp của các chiến thuật do máy tính đề xuất, diễn ra 7 năm sau khi AI dẫn trước con người một cách khó tin ở trò chơi thường được coi là phức tạp nhất trong tất cả các kiểu cờ.

AlphaGo, một hệ thống được phát minh bởi công ty nghiên cứu DeepMind thuộc sở hữu của Google, đã đánh bại nhà vô địch cờ vây thế giới Lee Sedol với tỉ số 4-1 vào năm 2016. Sedol cho rằng việc mình nghỉ thi đấu cờ vây ba năm sau đó là do sự trỗi dậy của AI, anh nói rằng đó là “một thực thể không thể bị đánh bại”. AlphaGo không thể được sử dụng bởi công chúng nhưng các hệ thống mà Pelrine đã đánh thắng được coi là ngang hàng với nó.

Trong một ván cờ vây, hai người chơi lần lượt đặt các quân cờ đen và trắng trên một bàn cờ được đánh dấu bằng lưới 19x19, tìm cách bao vây các quân cờ của đối phương và chiếm khoảng trống lớn nhất. Số lượng lớn các kết hợp khiến máy tính không thể đánh giá tất cả các nước đi tiềm năng trong tương lai.

Chiến thuật mà Pelrine sử dụng liên quan đến việc từ từ xâu chuỗi một “vòng” đá lớn lại với nhau để bao vây một trong các nhóm của đối thủ, đồng thời đánh lạc hướng AI bằng các nước đi ở các góc khác của bàn cờ. Pelrine cho biết bot chơi cờ vây không nhận thấy lỗ hổng của nó, ngay cả khi vòng vây gần như hoàn tất và nói thêm rằng “Với một con người, điều đó sẽ khá dễ dàng để phát hiện”.

Stuart Russell, giáo sư khoa học máy tính tại Đại học California, Berkeley, cho biết việc phát hiện ra điểm yếu trong một số máy chơi cờ vây tiên tiến nhất chỉ ra rằng, có một lỗ hổng cơ bản trong hệ thống học sâu (deep learning) tạo ra nền tảng cho AI tiên tiến nhất hiện nay. Theo ông, các hệ thống chỉ có thể “hiểu” các tình huống cụ thể mà chúng đã tiếp xúc trong quá khứ và không thể khái quát hóa theo cách mà con người thấy dễ dàng.

“Một lần nữa, điều đó cho thấy chúng ta đã quá vội vàng khi gán mức độ thông minh siêu phàm cho máy móc”, Russell nói.

Theo các nhà nghiên cứu, nguyên nhân chính xác của sự thất bại của các hệ thống chơi cờ vây vẫn còn là một vấn đề cần phỏng đoán. Gleave cho biết một lý do có thể là chiến thuật do Pelrine khai thác hiếm khi được sử dụng, có nghĩa là hệ thống AI chưa được đào tạo đủ về các trò chơi tương tự để nhận ra rằng chúng dễ bị tấn công.

Gleave cho biết thêm, người ta thường tìm thấy các lỗ hổng trong các hệ thống AI khi chúng tiếp xúc với kiểu “tấn công đối nghịch”. "Mặc dù vậy, chúng tôi nhận thấy thấy các hệ thống AI đang được triển khai trên quy mô lớn mà không được kiểm tra nhiều”, Gleave nói.

Nguy cơ tấn công vào các hệ thống AI ngày càng tăng

Đến nay, các tổ chức sử dụng AI và các cơ quan quản lý nhà nước dường như mới chỉ xét tới các rủi ro thiên vị của việc ứng dụng các hệ thống máy học. Nhưng ngay cả rủi ro này cũng không nên bị coi nhẹ vì đó không chỉ là vấn đề về hành vi thị trường hoặc bảo vệ người tiêu dùng mà còn có thể chuyển thành rủi ro tài chính cho các công ty hay thậm chí là rủi ro uy tín nếu chúng làm phát sinh rủi ro hoạt động quy mô lớn. Ngoài ra, rủi ro còn có thể phát sinh từ việc định giá thấp trên diện rộng các sản phẩm tài chính hoặc sai sót hệ thống trong việc bảo lãnh phát hành cho người tiêu dùng tài chính mới.

Bên cạnh những rủi ro dễ thấy, các hệ thống AI còn tiềm ẩn rất nhiều điểm yếu có thể bị lợi dụng. Những năm gần đây đã chứng kiến ​​sự gia tăng đột biến về số lượng nghiên cứu về các cuộc tấn công đối nghịch vào các hệ thống AI. Nếu như năm 2014 không có bài báo nào về máy học đối nghịch được gửi tới máy chủ Arxiv.org thì năm 2020 có khoảng 1.100 bài báo về các ví dụ và cuộc tấn công đối nghịch. Các phương pháp phòng thủ và tấn công đối nghịch cũng trở thành điểm nhấn của các hội nghị nổi bật như NeurIPS, ICLR, DEF CON, Black Hat và Usenix.

Có thể nêu một loạt ví dụ khác nhau về tấn công các hệ thống AI như sau:

Thứ nhất, kẻ tấn có được thông tin công khai về một chính trị gia (chẳng hạn như tên, số an sinh xã hội, địa chỉ, tên của nhà cung cấp dịch vụ y tế, các cơ sở đã đến,...) và thông qua một cuộc tấn công suy luận nhằm vào hệ thống y tế trực tuyến, có thể xác định chắc chắn rằng chính trị gia đó đã che giấu chứng rối loạn sức khỏe trong một thời gian dài (để rồi từ đó thực hiện việc tống tiền).

Thứ hai, kẻ tấn công sử dụng một cuộc tấn công Sybil (tấn công Sybil là cuộc tấn công mà một cá nhân mạo nhận làm nhiều danh tính một lúc để kiểm soát sự ảnh hưởng lên mạng lưới) đầu độc chức năng tự động điền thông tin của trình duyệt web để  gợi ý từ “gian lận” mỗi khi người dùng nhập tên công ty mục tiêu vào ô tìm kiếm. Công ty bị nhắm mục tiêu chỉ có thể nhận thấy cuộc tấn công sau một thời gian nhưng khi khắc phục xong thì thiệt hại đã xảy ra và họ phải chịu tác động tiêu cực lâu dài đến hình ảnh thương hiệu của mình. 

Thứ ba, kẻ tấn công sử dụng một cuộc tấn công sao chép để thiết kế ngược một hệ thống thương mại dựa trên máy học. Sử dụng tài sản trí tuệ bị đánh cắp này, họ thành lập một công ty cạnh tranh và do đó ngăn công ty mục tiêu kiếm được doanh thu mà họ mong đợi.

Thứ tư, kẻ tấn công gửi các biểu ngữ quảng cáo khiêu dâm đã được thay đổi theo hướng bất lợi vào quảng cáo của một nhà cung cấp dịch vụ nổi tiếng. Các hình ảnh đã gửi qua mặt được hệ thống lọc nội dung dựa trên máy học nên biểu ngữ quảng cáo khiêu dâm được hiển thị trên các trang web có lượng truy cập thường xuyên lớn.

Thứ sáu, kẻ tấn công nhúng các lệnh thoại ẩn vào nội dung video, tải nó lên một dịch vụ chia sẻ video phổ biến và quảng bá video một cách giả tạo (sử dụng một cuộc tấn công Sybil). Khi video được phát trên hệ thống của nạn nhân, các lệnh thoại ẩn sẽ hướng dẫn thành công thiết bị trợ lý kỹ thuật số tại nhà mua sản phẩm mà chủ sở hữu không hề hay biết, hướng dẫn các thiết bị gia dụng thông minh thay đổi cài đặt (ví dụ: tăng nhiệt, tắt đèn hoặc mở khóa cửa trước) hoặc hướng dẫn một thiết bị máy tính gần đó thực hiện tìm kiếm nội dung bất hợp pháp (chẳng hạn như ma túy hoặc nội dung khiêu dâm trẻ em) mà chủ sở hữu không hề hay biết (cho phép kẻ tấn công sau đó tống tiền nạn nhân). Chẳng hạn như một nhóm các nhà nghiên cứu từ Đại học Florida đã tạo ra một cuộc tấn công đối nghịch vào Hệ thống xử lý giọng nói (VPS).

Thông thường, các cuộc tấn công như vậy nhắm vào một mô hình máy học cụ thể. Nhưng thay vào đó, họ đã tấn công vào tính năng trích xuất của giai đoạn xử lý tín hiệu. Và vì hầu hết các mô hình nhận dạng giọng nói đều dựa trên cùng một bộ tính năng nên cuộc tấn công hoạt động với hầu hết các loại loa và micrô. Cụ thể, nhà nghiên cứu Abdullah và các cộng sự đã tạo ra các lệnh thoại độc hại giống như tiếng ồn ở tần số cao mà con người không nhận biết được.

Thứ bảy, phát hiện tin giả là một vấn đề tương đối khó giải quyết bằng tự động hóa và các giải pháp phát hiện tin giả vẫn còn ở giai đoạn sơ khai. Khi các kỹ thuật này được cải thiện và mọi người bắt đầu dựa vào các phán quyết từ các dịch vụ phát hiện tin tức giả mạo đáng tin cậy, việc đánh lừa các dịch vụ đó một cách ngắt quãng và vào những thời điểm chiến lược sẽ là một cách lý tưởng để đưa các câu chuyện sai sự thật vào diễn ngôn chính trị hoặc xã hội. Trong trường hợp như vậy, kẻ tấn công sẽ tạo một bài báo hư cấu dựa trên các sự kiện hiện tại và thay đổi nó một cách bất lợi để trốn tránh các hệ thống phát hiện tin tức giả mạo đã biết. Sau đó, bài báo sẽ tìm đường vào mạng xã hội, nơi nó có khả năng lan truyền mạnh mẽ trước khi có thể kiểm tra tính xác thực theo cách thủ công.

Một kịch bản cụ thể hơn là xuất bản và quảng bá một loạt thông điệp truyền thông xã hội được thiết kế để đánh lừa các bộ phân loại phân tích cảm tính được sử dụng bởi các thuật toán giao dịch tự động. Một vài thuật toán giao dịch cao cấp sẽ giao dịch không chính xác trong quá trình tấn công, dẫn đến tổn thất cho các bên liên quan và có thể dẫn đến suy thoái thị trường.

Nhà nghiên cứu Marco Schreyer (trường đại học St. Gallen, Thụy Sĩ) và các cộng sự đã phát triển và tung ra các cuộc tấn công đầu tiên nhắm vào kiểm toán tài chính. Họ giới thiệu một 'mô hình luồng' trong thế giới thực được thiết kế để ngụy trang cho các bất thường về kế toán và chỉ ra rằng các mạng nơ-ron tự động đối nghịch có khả năng học một mô hình có thể hiểu được của con người về các bút toán giúp loại bỏ các yếu tố tiềm ẩn. Cuối cùng, họ chứng minh cách thức một mô hình như vậy có thể bị lạm dụng để tạo ra các bút toán 'đối nghịch' mạnh mẽ đánh lừa 'Kỹ thuật kiểm toán được máy tính hỗ trợ' (CAAT), từ đó né tránh các tiêu chuẩn kiểm toán quốc tế và đánh lừa các nhà đầu tư về tình hình tài chính của công ty.

Các giải pháp phòng chống tấn công và các khung pháp lý

Với sự gia tăng mối quan tâm đến các cuộc tấn công đối nghịch và các kỹ thuật để chống lại chúng, các công ty khởi nghiệp như Resistant AI đang trở nên nổi bật với các sản phẩm có thể giúp “cứng hóa” các thuật toán AI để chống lại các cuộc tấn công.

Ngoài các giải pháp thương mại mới này, nghiên cứu mới nổi hấp dẫn các doanh nghiệp muốn đầu tư vào hệ thống phòng thủ chống lại các cuộc tấn công đối nghịch. Baidu, Microsoft, IBM và Salesforce cung cấp các hộp công cụ — Advbox, Counterfit, Adversarial Robustness Toolbox và Robustness Gym — để tạo ra các ví dụ đối nghịch có thể đánh lừa các mô hình trong các khuôn khổ như MxNet, Keras, PyTorch và Caffe2 của Facebook, TensorFlow của Google và PaddlePaddle của Baidu. Và Phòng thí nghiệm Khoa học Máy tính và Trí tuệ Nhân tạo của MIT đã phát hành một công cụ có tên là TextFooler để tạo văn bản đối nghịch nhằm củng cố các mô hình ngôn ngữ tự nhiên.

Gần đây hơn, Microsoft, tổ chức phi lợi nhuận Mitre Corporation và 11 tổ chức bao gồm IBM, Nvidia, Airbus và Bosch đã phát hành Adversarial ML Threat Matrix, một khung mở tập trung vào lĩnh vực này, được thiết kế để giúp các nhà phân tích bảo mật phát hiện, phản hồi và khắc phục các mối đe dọa chống lại hệ thống học máy. Microsoft cho biết họ đã làm việc với Mitre để xây dựng một lược đồ tổ chức các cách tiếp cận mà các tác nhân độc hại sử dụng để phá hoại các mô hình học máy, củng cố các chiến lược giám sát xung quanh các hệ thống quan trọng của tổ chức.

Công nghệ và công cụ có thể phát huy tác dụng và được hoàn thiện khi chúng được áp dụng trong thực tế. Nhưng nhiều tổ chức không nhận thức được và không sẵn lòng đầu tư để triển khai các công cụ phòng chống khi chưa thấy hậu quả tiềm ẩn của những điểm yếu. Với việc nhiều tổ chức tài chính đang tăng cường sử dụng AI để hỗ trợ hoạt động kinh doanh của họ, cơ quan quản lý tài chính đang bắt đầu áp dụng hoặc cập nhật các khung pháp lý cụ thể về quản trị AI. Dưới đây là một số tài liệu liên quan đến AI áp dụng cho lĩnh vực tài chính do các nước ban hành.

Trong số đó, mới chỉ có tài liệu của Luxembourg đề cập đến việc quá trình sử dụng AI/ML cần được hỗ trợ bởi khung bảo vệ không gian mạng hợp lý, bảo mật và quyền riêng tư dữ liệu theo thiết kế nên được áp dụng ngay từ giai đoạn đầu.