Sieci neuronowe na grafach (Graph Neural Networks, GNN) to jedne z najciekawszych narzędzi we współczesnej sztucznej inteligencji. Potrafią analizować dane zapisane w formie węzłów i połączeń – np. sieci społecznościowe, powiązania finansowe, struktury białek czy sieci transportowe.
Ale wraz z sukcesem pojawia się ryzyko: GNN można atakować. Nowa praca naukowa wprowadza JANUS – framework ataku, który uczy się wstrzykiwać fałszywe węzły do grafu w sposób niezwykle trudny do wykrycia. Choć to badania nad bezpieczeństwem, ich wnioski są ważne także dla obrony przed podobnymi zagrożeniami.

Krótki przykład

Wyobraź sobie sieć społecznościową, w której GNN ocenia, czy konto jest prawdziwe czy bot. Jeśli ktoś stworzy „fałszywego znajomego” (czyli węzeł z cechami podobnymi do innych ludzi i odpowiednimi połączeniami), to system może go uznać za normalny element sieci. Takie „wstrzyknięcie węzła” to podstęp – wygląda niewinnie, a jednak może zmienić wyniki klasyfikacji całej sieci.

Tradycyjne ataki były często wykrywalne, bo fałszywe węzły miały podejrzane cechy lub dziwne połączenia. JANUS działa sprytniej:

  • Na poziomie lokalnym – upewnia się, że fałszywe konto wygląda jak prawdziwe konto w danej okolicy sieci.
  • Na poziomie globalnym – sprawia, że cała struktura sieci z tymi fałszywymi węzłami nadal przypomina prawdziwy świat.

To trochę jak fałszerz pieniędzy: nie wystarczy, że banknot wygląda dobrze z bliska. Musi też pasować do całego obiegu, inaczej szybko zostanie wykryty.

Przykład praktyczny:

  • W sieci finansowej atak może sprawić, że podejrzane transakcje będą wyglądały na legalne.
  • W bioinformatyce – sztucznie dodany gen w grafie zależności może zmylić model w badaniach medycznych.

Tło matematyczne

Graf zapisujemy jako:

$$ G = (V, E, X), $$

gdzie $V$ to zbiór węzłów, $E$ – krawędzie, a $X \in \mathbb{R}^{|V|\times d}$ – macierz cech węzłów.

Atak typu node injection polega na dodaniu nowego węzła $v_{\text{inj}}$ i zestawu krawędzi, tak by zmaksymalizować funkcję straty modelu GNN, przy ograniczonym budżecie ataku.

Celem JANUS jest maksymalizacja liczby błędnie sklasyfikowanych węzłów:

$$ \max \sum_{v \in T} \mathbb{I}(f_\theta(v, G’) \neq y_v), $$

gdzie $T \subset V$ to zbiór węzłów ofiary, $f_\theta$ – model GNN, a $G’$ to graf po ataku.

Dwa poziomy „niewidzialności”

  1. Lokalna autentyczność cech
    Użyto teorii Optymalnego Transportu (OT). Mierzymy koszt „przeniesienia” rozkładu cech nowego węzła na rozkład cech prawdziwych sąsiadów.

    Strata lokalna:

    $$ L_{\text{OT}}(x_{\text{inj}}, X_{\text{orig}}) = W_2^2 \big(P_{\text{inj}}, P_{\text{orig}} \big), $$

    gdzie $W_2$ to odległość Wassersteina, a w praktyce liczymy ją algorytmem Sinkhorna.

  2. Globalna spójność semantyczna
    Zastosowano podejście inspirowane InfoGAN – generator korzysta z ukrytych kodów $c$, które wymuszają tworzenie struktur zgodnych z ukrytymi wzorcami grafu.

    Strata globalna:

    $$ L_{\text{info}} = - \mathbb{E}_{c,z} \big[ \log Q(c|g) \big], $$

    gdzie $Q$ próbuje odtworzyć kod $c$ z wygenerowanego podgrafu $g$.

Optymalizacja przez Reinforcement Learning

JANUS modeluje atak jako proces decyzyjny Markowa (MDP). Generator (aktor) decyduje, jakie cechy i krawędzie dodać. Krytyk ocenia wartość stanu.

Strata generatora (aktor):

$$ L_G = L_{\text{policy}} + L_{\text{adv}} + L_{\text{info}} + \lambda L_{\text{OT}}, $$

gdzie $\lambda$ równoważy skuteczność ataku i lokalną autentyczność.

Podsumowanie

Praca o JANUS pokazuje, że ataki na GNN mogą być niezwykle trudne do wykrycia, jeśli są dobrze zaprojektowane. Wprowadzenie podwójnego mechanizmu ukrywania (lokalnego i globalnego) sprawia, że fałszywe węzły wyglądają jak naturalna część grafu.

Z punktu widzenia bezpieczeństwa:

  • To ostrzeżenie, że obrona przed atakami musi brać pod uwagę zarówno lokalne cechy, jak i globalne wzorce.

  • Zastosowania obronne mogą dotyczyć sieci finansowych, bezpieczeństwa w social media czy systemów bioinformatycznych.

Z punktu widzenia badaczy:

  • JANUS łączy Generative Adversarial Networks (GAN), Optymalny Transport, InfoGAN i Reinforcement Learning w jednym frameworku.

  • To krok w stronę bardziej „świadomego” modelowania zarówno ataków, jak i obrony w GNN.

📎 Linki