Где будут атаковать?

Системы машинного обучения аккумулируют все больше данных. Поэтому грядущие атаки разворачиваются в сторону бэкдоров и извлечения данных. Источник бэкдоров, очевидно, это какие-то заимствования при разработке (датасеты неясного происхождения, чужие модели и библиотеки и т.п.). А вот атаки извлечением могут построены путем специализированного опроса системы ML. И здесь возникает конфликт. С одной строны, нужен доступ для пользователей к работающей модели, а с другой стороны, этот доступ может помочь построить теневую модель, на которой и будут отработаны атаки.