深度学习的广泛利用也让很多黑客跃跃欲试，想利用 AI 的弱点发起攻击。
本项目总结了很多干系的方法和履历，用于传授教化示范，目前已登 GitHub 热榜，本日得到了 200 多赞。

随着深度学习的发展，各行各业都在考虑将干系新技能引入业务场景中，网络安全领域也不例外。
近一段韶光以来，很多网络安全公司都考试测验用神经网络去检测病毒、创造程序后门等，而一些数据公司也利用了神经网络创造和检测恶意爬虫程序。
但是，神经网络真的在软件层面上是安全吗？今日的 GitHub 趋势榜上有一个「骇着迷经网络指南」项目。
作者供应了一系列传授教化资料和代码，见告了我们黑客会若何对神经网络发起攻击。
和对抗样本攻击不同，这些攻击都是从软件层面进行的，和利用对抗样本稠浊模型能力的攻击不同。

项目地址：https://github.com/Kayzaks/HackingNeuralNetworks

安全攻防战蔓延到 AI

在项目中，作者紧张先容了几种利用神经网络弱点对其发动攻击的方法，包括从利用神经网络的运用中找到漏洞，进行信息盗取、恶意程序注入和后门入侵等。
此外还有利用深度学习演习中的内存加速，从 GPU 攻入系统的方法。
项目详细分为多个章节，每个章节都供应了对应的代码和练习教程。
除此以外，作者还供应了一篇文章，详细先容了攻击事理和思路。

教程文章地址：https://github.com/Kayzaks/HackingNeuralNetworks/blob/master/Article.pdf

课程目录

项目分为 8 个章节，目录如下：

末了一层攻击探求神经网络后门信息盗取暴力破解神经溢出恶意软件注着迷经稠浊探求漏洞攻击 GPU

如何攻击 AI 系统

作者在教程文章中供应了一个例子：攻击利用神经网咯的虹膜识别系统。
假设黑客可以部分地进入到某虹膜识别系统中，但是该系统的识别认证是由一个神经网络组成的，黑客无法获取完全代码，仅有模型文件「model.h5」，若何才能进行攻击？

详细而言，这种 HDF5 文件险些存储了模型所有的干系信息，包括架构和权重等。
因此，作者认为修正文件中的权重等信息，特殊是在模型的末了一层上。
以一个二分类问题为例，模型的末了一层可能有两个神经元，正样本得到一个权重，而负样本则是另一个。
黑客可以改变负样本的权重，使其也对本应该识别为陌生人的人付与进入的权利。

修正神经网络权重以改变识别结果。

此外，神经网络也可以被修正，以盗取输入数据。
例如，黑客可以在网络的输入层前加入一层，让这个层根据反向传播调度自身权重（其他层不参与演习），末了根据特定的标签得到对应的层和权重。
这样一来，如果须要一个能够绕过虹膜识别 AI 的数据，只须要利用这样的神经网络天生一个对应的输入即可。

研究者将一个新层加在已有层上。
这时候只须要演习新层，旧层不演习。

攻击 GPU 缓存

除了这些以外，作者还谈到了如何让深度学习中利用的 GPU 发生缓存溢出，以便于获取掌握系统权限的方法。
在一个图像任务中，为了对图片进行预处理并分配给模型，系统可能会将图像和模型加载到 DRAM 中并利用两个不同的核进行处理。

由于预演习须要处理图像，而模型本身也很大，如果同时对两者利用全局内存（global memory），就可能使得分配给图像的内存发生溢出。
溢出后，黑客就有了可以修正模型的能力。
通过修正模型，则可以进一步掌握全体系统。

安装依赖和利用

作者表示，本项目须要 Python 和干系依赖。
项目干系代码是在 VS Code 上完成的。

详细须要的依赖包包括：

KerasNumpySciPyPyCudaNLTK

安装后就可以利用教程了。
在每个章节的代码目录中都附有详细的解释信息，读者可参考解释和代码研究实现。