Дослідники використовували електромагнітні сигнали, щоб викрасти та відтворити моделі штучного інтелекту з TPU Google Edge із точністю 99,91%, виявивши значні вразливості систем штучного інтелекту та вимагаючи термінових заходів захисту. Дослідники показали, що можна викрасти модель штучного інтелекту (ШІ) без безпосереднього злому пристрою, на якому вона працює. Ця інноваційна техніка не вимагає попереднього знання програмного забезпечення чи архітектури, що підтримує ШІ, що робить її значним прогресом у методах вилучення моделей.
«Моделі штучного інтелекту цінні, ми не хочемо, щоб люди їх крали», — говорить Айдін Айсу, співавтор статті про цю роботу та ад’юнкт-професор електротехніки та комп’ютерної інженерії в Університеті штату Північна Кароліна. «Створення моделі дороге і вимагає значних обчислювальних ресурсів. Але не менш важливо, коли модель витікає або її викрадають, вона також стає вразливішою до атак, оскільки треті сторони можуть вивчати модель і виявляти будь-які недоліки».
«Як ми зазначаємо в статті, атаки з крадіжкою моделі на пристрої штучного інтелекту та машинного навчання підривають права інтелектуальної власності, компрометують конкурентну перевагу розробників моделі та можуть відкрити конфіденційні дані, вбудовані в поведінку моделі», — каже Ешлі Куріан, перший автор книги стаття та докторська ступінь. студент штату NC.
Крадіжка гіперпараметрів ШІ
У цій роботі дослідники викрали гіперпараметри моделі штучного інтелекту, яка працювала на модулі обробки тензорів Google Edge Tensor Processing Unit (TPU).
«На практиці це означає, що ми змогли визначити архітектуру та конкретні характеристики — відомі як деталі шару — нам потрібно буде зробити копію моделі штучного інтелекту», — говорить Куріан. «Оскільки ми вкрали архітектуру та деталі шару, ми змогли відтворити високорівневі функції ШІ», — каже Айсу. «Потім ми використали цю інформацію, щоб відтворити функціональну модель ШІ або дуже близький сурогат цієї моделі».
Дослідники використали Google Edge TPU для цієї демонстрації, оскільки це комерційно доступний чіп, який широко використовується для запуску моделей штучного інтелекту на периферійних пристроях, тобто на пристроях, які використовують кінцеві користувачі в польових умовах, на відміну від систем штучного інтелекту, які використовуються для додатків баз даних. .
«Цю техніку можна використовувати для викрадення моделей штучного інтелекту, які працюють на багатьох різних пристроях», — говорить Куріан. «Поки зловмисник знає пристрій, з якого він хоче вкрасти, може отримати доступ до пристрою, поки на ньому працює модель штучного інтелекту, і має доступ до іншого пристрою з такими ж специфікаціями, ця техніка має працювати».
Техніка, використана в цій демонстрації, базується на моніторингу електромагнітних сигналів. Зокрема, дослідники розмістили електромагнітний зонд поверх чіпа TPU. Зонд надає дані в реальному часі про зміни в електромагнітному полі ТПУ під час обробки ШІ.
«Електромагнітні дані від датчика по суті дають нам «підпис» поведінки обробки штучного інтелекту», — говорить Куріан. «Це найлегша частина».
Щоб визначити архітектуру моделі штучного інтелекту та деталі рівня, дослідники порівнюють електромагнітний підпис моделі з базою даних підписів інших моделей штучного інтелекту, створених на ідентичному пристрої – в даному випадку це означає інший TPU Google Edge.
Зворотне проектування моделей ШІ
Як дослідники можуть «вкрасти» модель ШІ, для якої у них ще немає підпису? Ось де все стає складно. Дослідники мають техніку, яка дозволяє їм оцінити кількість шарів у цільовій моделі ШІ. Шари — це серія послідовних операцій, які виконує модель ШІ, причому результат кожної операції інформує наступну операцію. Більшість моделей AI мають від 50 до 242 шарів.
«Замість того, щоб намагатися відтворити всю електромагнітну сигнатуру моделі, що було б непосильним з точки зору обчислень, ми розбиваємо її на рівні», — каже Куріан. «У нас уже є колекція з 5000 підписів першого рівня з інших моделей ШІ. Тому ми порівнюємо вкрадений підпис першого рівня з підписами першого рівня в нашій базі даних, щоб побачити, який із них найбільше відповідає.
«Після того, як ми обробили перший шар, він інформує, які 5000 підписів ми вибираємо для порівняння з другим шаром», — каже Куріан. «Цей процес триває, доки ми не переконструюємо всі шари й не створимо копію моделі ШІ».
У своїй демонстрації дослідники показали, що ця техніка здатна відтворити викрадену модель ШІ з точністю 99,91%.
«Тепер, коли ми визначили та продемонстрували цю вразливість, наступним кроком є розробка та впровадження контрзаходів для захисту від неї», — каже Айсу.
