Badacze wykorzystali sygnały elektromagnetyczne do kradzieży i replikacji modeli sztucznej inteligencji z TPU Google Edge z 99,91% dokładnośćujawniając istotne luki w systemach sztucznej inteligencji i wzywając do podjęcia pilnych środków ochronnych.
Naukowcy wykazali, że można ukraść np sztuczna inteligencja (AI) bez bezpośredniego hakowania urządzenia, na którym działa. Ta innowacyjna technika nie wymaga wcześniejszej wiedzy na temat oprogramowania ani architektury obsługującej sztuczną inteligencję, co czyni ją znaczącym postępem w metodach ekstrakcji modeli.
„Modele sztucznej inteligencji są cenne, nie chcemy, aby ludzie je kradli” – mówi Aydin Aysu, współautor artykułu na temat tych prac i profesor nadzwyczajny inżynierii elektrycznej i komputerowej na Uniwersytecie Uniwersytet Stanowy Karoliny Północnej. „Budowanie modelu jest kosztowne i wymaga znacznych źródeł obliczeniowych. Ale co równie ważne, gdy model wycieknie lub zostanie skradziony, staje się on również bardziej podatny na ataki, ponieważ osoby trzecie mogą przestudiować model i zidentyfikować wszelkie słabe strony”.
„Jak zauważyliśmy w artykule, ataki polegające na kradzieży modeli na sztuczną inteligencję i uczenie maszynowe urządzenia podważają prawa własności intelektualnej, zagrażają przewadze konkurencyjnej twórców modelu i mogą ujawnić wrażliwe dane zawarte w zachowaniu modelu” – mówi Ashley Kurian, pierwsza autorka artykułu i doktorantka. student NC State.
Kradzież hiperparametrów AI
W tej pracy badacze ukradli hiperparametry modelu sztucznej inteligencji działającego na jednostce przetwarzania Google Edge Tensor Processing Unit (TPU).
„W praktyce oznacza to, że byliśmy w stanie określić architekturę i specyficzne cechy – zwane szczegółami warstw – i musielibyśmy wykonać kopię modelu sztucznej inteligencji” – mówi Kurian.
„Ponieważ ukradliśmy szczegóły architektury i warstw, byliśmy w stanie odtworzyć zaawansowane funkcje sztucznej inteligencji” – mówi Aysu. „Następnie wykorzystaliśmy te informacje do odtworzenia funkcjonalnego modelu sztucznej inteligencji lub bardzo bliskiego odpowiednika tego modelu”.
Do tej demonstracji badacze wykorzystali TPU Google Edge, ponieważ jest to dostępny na rynku układ powszechnie stosowany do uruchamiania modeli sztucznej inteligencji na urządzeniach brzegowych – czyli urządzeniach wykorzystywanych przez użytkowników końcowych w terenie, w przeciwieństwie do systemów sztucznej inteligencji używanych w aplikacjach bazodanowych. .
„Tę technikę można wykorzystać do kradzieży modeli sztucznej inteligencji działających na wielu różnych urządzeniach” – mówi Kurian. „Dopóki atakujący zna urządzenie, z którego chce ukraść, może uzyskać do niego dostęp, gdy działa na nim model AI i ma dostęp do innego urządzenia o tych samych specyfikacjach, technika ta powinna działać”.
Technika zastosowana w tej demonstracji opiera się na monitorowaniu sygnałów elektromagnetycznych. W szczególności badacze umieścili sondę elektromagnetyczną na chipie TPU. Sonda dostarcza w czasie rzeczywistym dane o zmianach pola elektromagnetycznego TPU podczas przetwarzania AI.
„Dane elektromagnetyczne z czujnika zasadniczo dają nam „podpis” zachowania przetwarzania AI” – mówi Kurian. „To łatwa część”.
Aby określić architekturę modelu AI i szczegóły warstw, badacze porównują sygnaturę elektromagnetyczną modelu z bazą danych zawierającą sygnatury innych modeli AI utworzone na identycznym urządzeniu – w tym przypadku na innym TPU Google Edge.
Modele AI inżynierii odwrotnej
W jaki sposób badacze mogą „ukraść” model sztucznej inteligencji, dla którego nie mają jeszcze podpisu? To właśnie tam sprawy stają się trudne.
Naukowcy dysponują techniką, która pozwala im oszacować liczbę warstw w docelowym modelu sztucznej inteligencji. Warstwy to seria kolejnych operacji wykonywanych przez model AI, a wynik każdej operacji informuje następną. Większość modeli AI ma od 50 do 242 warstw.
„Zamiast próbować odtworzyć całą sygnaturę elektromagnetyczną modelu, co byłoby przytłaczające obliczeniowo, dzielimy ją na warstwy” – mówi Kurian. „Mamy już kolekcję 5000 sygnatur pierwszej warstwy z innych modeli sztucznej inteligencji. Porównujemy więc skradziony podpis pierwszej warstwy z podpisami pierwszej warstwy w naszej bazie danych, aby zobaczyć, który z nich najbardziej pasuje.
„Gdy już dokonamy inżynierii wstecznej pierwszej warstwy, będzie to informacja, które 5000 podpisów wybierzemy do porównania z drugą warstwą” – mówi Kurian. „Proces ten trwa, dopóki nie dokonamy inżynierii wstecznej wszystkich warstw i skutecznie utworzymy kopię modelu sztucznej inteligencji”.
Podczas swojej demonstracji naukowcy wykazali, że technika ta umożliwia odtworzenie skradzionego modelu sztucznej inteligencji z dokładnością do 99,91%.
„Teraz, gdy zdefiniowaliśmy i zademonstrowaliśmy tę lukę, następnym krokiem jest opracowanie i wdrożenie środków zaradczych w celu ochrony przed nią” – mówi Aysu.
Odniesienie: „TPUXtract: An Exhaustive Hyperparameter Extraction Framework” autorstwa Ashley Kurian, Anuj Dubey, Ferhat Yaman i Aydin Aysu, 9 grudnia 2024 r., Konferencja na temat sprzętu kryptograficznego i systemów wbudowanych.
DOI: 10.46586/tches.v2025.i1.78-103
Praca została wykonana przy wsparciu National Science Foundation w ramach grantu nr 1943245.
Badacze ujawnili Google zidentyfikowaną lukę.
