Max Weiss '20 foretog forskning i bots og hackede en kommentarsektion på en regerings hjemmeside med 1, 000 falske kommentarer. Kredit:Stephanie Mitchell/Harvard Staff Photographer
Max Weiss havde aldrig til hensigt at hacke regeringen. Hans opdagelse af, hvor nemt det er at gøre - skitseret i et nyt papir, han forfattede - kom af de bedste intentioner.
Weiss, en regeringskoncentrator fra Cincinnati, lavede fortalerarbejde for statsudvidelse og forsvar af Medicaid sidste sommer, et projekt, der kombinerede hans interesser i offentlig politik og sundhedsvæsen. Mens man studerer de måder, hvorpå forskellige fortalergrupper kan påvirke verserende lovgivning, han lærte, hvor værdifulde sådanne grupper finder den føderale regerings kommentarperiode, når medlemmer af offentligheden opfordres til at tage stilling til ny eller verserende lovgivning via onlineformularer. Han indså, hvor nemt det ville være at manipulere resultaterne ved hjælp af bots - computerprogrammer, der genererer automatiserede svar - for at oversvømme webstederne med falske svar for eller imod ethvert forslag.
Den 21-årige beskrev sine resultater i en nylig Teknologi Videnskab stykke, "Deepfake Bot-indlæg til føderale offentlige kommentarwebsteder kan ikke skelnes fra menneskelige indsendelser."
"Vi brugte meget tid og energi på at få kommentarer af høj kvalitet fra vælgere, " sagde Weiss. "Jeg ønskede at sikre, at disse føderale agenturer forstod de potentielle konsekvenser af deres politik, og jeg havde den idé, at jeg kunne bruge en bot og sende en masse falske kommentarer."
Han holdt en pause, erkender, at korrumpering af processen var fyldt med:"Dette ville være dårligt for demokratiet."
Men Leverett House-beboeren kunne ikke rokke ved ideen, og han begyndte at undersøge muligheden for en sådan ordning. Det viser sig, at indsendelse er let at automatisere. Føderale agenturer har et vist spillerum til at give rabat på kommentarer, der åbenlyst er duplikerede eller irrelevante. Men det typiske teknologiske forsvar mod angreb, inklusive CAPTCHAS, opdagelse af anomalier, og ekstern verifikation - som alle er integreret i online-aktivitet fra bank til e-mail-log-in - var stort set fraværende.
Figur 1. Eksempel på synonymerstatning, der bruges til at bygge sætninger i en stor FCC-offentlig kommentarkampagne. Figuren viser fem eksempler på sætninger (nederste panel) bygget af otte sætningskomponenter, hver med tre muligheder på kort sigt (øverste panel). De kortsigtede muligheder, der blev brugt til at bygge kombinationer for én sætning, blev taget direkte fra kun én FCC-kommentarkampagne (bestående af 1,3 millioner kommentarer) opdaget og dissekeret af Jeff Kao [1]. Kun givet de viste muligheder på kort sigt, 38 =6, 561 variationer af denne samme sætning kunne oprettes.
"De fleste af disse websteder har egentlig bare et tekstfelt til dine offentlige kommentarer og derefter en indsend-knap, " han sagde.
I løbet af at skrive Teknisk Videnskab papir, Weiss indså, at cybersikkerhedseksperter har slået alarm om føderal hjemmesides sårbarhed i årevis, men tidligere overtrædelser havde brugt relativt usofistikerede substitutionsmetoder. "I 2017 der var 22 millioner kommentarer til FCC-forslaget om at ophæve netneutralitet, " huskede han. "Og det blev konstateret, at 96 procent af dem var en del af duplikative kampagner."
Weiss brugte AI-metoder til at generere en stor mængde unikke deepfake kommentarer om en foreslået Medicaid-fritagelse. Han skrev derefter et program, der automatiserede indsendelsesprocessen, og kørte den fra en bærbar computer på hans kollegieværelse i løbet af et par dage. Han indsendte mere end 1, 000 falske kommentarer, der udgjorde 55 procent af de samlede indsendelser, og som blev fundet af undersøgelsesrespondenter ikke at skelne fra menneskelige kommentarer. Bagefter, han underrettede de føderale centre for Medicare og Medicaid Services, hvilke kommentarer var en del af hans demonstration for at forhindre deres indblanding i autentisk offentlig kommentarevaluering.
Blandt de mere skræmmende afsløringer var Weiss' indrømmelse af, at han havde succes uden at være en ekspert koder og uden specielt udstyr. "Jeg har lært at kode i de sidste fire år, blot gennem en række personlige projekter og sommerjob, og en klasse, " sagde Weiss, som har taget nogle kurser på den nye uddannelse i teknologividenskab. "Jeg tror, at et af de meget vigtige resultater fra undersøgelsen er, at en person som mig, der er en meget nybegynder koder, var i stand til at Google sig igennem at hacke regeringen.
"Jeg har altid været meget interesseret i offentlig politik, " sagde Weiss, som også nyder at skrive og optræde komedie. "Det meste af min regeringsundersøgelse har været i sundhedspolitik eller i teknologipolitik eller teknologi af offentlig interesse, så dette var bare en slags syntese af en masse forskellige ting, som jeg havde lært i regeringsministeriet og bare nogle personlige teknologiprojekter, som jeg har lavet tidligere."
"Max gjorde banebrydende arbejde, præcis den slags arbejde med virkning fra den virkelige verden, vi opfordrer vores elever til at udføre" i teknologividenskabsklasser, sagde Latanya Sweeney, professor i regering og teknologi i bolig og direktør for Data Privacy Lab ved Institut for Kvantitativ Samfundsvidenskab, der fungerer som chefredaktør for Technology Science.
"Takket være Max' arbejde, flere grupper i den føderale regering foretager nu aktivt ændringer for at bekæmpe denne form for sårbarheder, " tilføjede hun.
Denne historie er offentliggjort med tilladelse fra Harvard Gazette, Harvard Universitys officielle avis. For yderligere universitetsnyheder, besøg Harvard.edu.