Модель штучного інтелекту можна вкрасти без жодного зламу, — вчені

Потрібно багато грошей, зусиль та часу, щоб навчати модель штучного інтелекту. І відносно мало зусиль, щоб вкрасти її. Для цього не потрібне викрадення або витік даних.

Вкрасти ШІ можливо за допомогою електромагнітного «підпису» моделі. Дослідники з Університету Північної Кароліни описали таку техніку у статті. Їм знадобився електромагнітний зонд, кілька попередньо підготовлених моделей штучного інтелекту з відкритим вихідним кодом та блок обробки тензорів Google Edge Tensor Processing Unit (Google Edge Tensor Processing Unit, TPU). Метод полягає в аналізі електромагнітного випромінювання під час роботи TPU.

Щоб розшифрувати параметри моделі, вченим довелося порівняти дані електромагнітного поля з даними роботи інших моделей штучного інтелекту, котрі працювали на такому ж чипі. Дослідникам вдалося визначити архітектуру та конкретні характеристики, відомі як деталі шару. Це дозволило їм зробити копію моделі штучного інтелекту з точністю 99,91%. Щоб це зробити, потрібний фізичний доступ до чипа — для зондування, а також для запуску інших моделей. Вчені співпрацювали безпосередньо з Google, щоб допомогти компанії визначити, наскільки її чипи піддаються атакам.

Атаки, спрямовані на бічні канали інформації, пов’язані з роботою пристроїв, не нові. Але ця конкретна техніка вилучення параметрів архітектури всієї моделі є важливою, оскільки апаратне забезпечення штучного інтелекту створює висновок у відкритому тексті. Моделі, розгорнуті на фізично незахищеному сервері, є вразливими до неї.

Дослідники також припускають можливість викрадення моделі зі смартфонів та інших пристроїв. Але їхній компактний дизайн ускладнює моніторинг електромагнітного поля.

Джерело: Gizmodo