Исследователи продемонстрировали возможность кражи модели искусственного интеллекта без взлома устройства, на котором она работала, пишет TechXplore. Новизна этого метода заключается в том, что он применим, даже если хакер ничего не знает о программном обеспечении или архитектуре, поддерживающих ИИ. Создание нейросети — дорогостоящий процесс, требующий больших вычислительных ресурсов. Но что не менее важно, при «утечке» она становится более уязвимой для атак.
Кража моделей искусственного интеллекта и машинного обучения, установленных на устройствах, нарушает права интеллектуальной собственности, наносит ущерб разработчикам и ставит под удар их конкурентные преимущества. Также это может привести к раскрытию конфиденциальной информации, заложенной в поведение системы.
В своем эксперименте исследователи украли гиперпараметры модели, которая работала на тензорном процессоре Google Edge (TPU). Это коммерчески доступный чип, широко применяемый для запуска ИИ-алгоритмов на периферийных устройствах, то есть используемых конечными пользователями.
Команда смогла определить архитектуру и конкретные характеристики нейросети. В этом им помог мониторинг электромагнитных сигналов. Исследователи разместили электромагнитный зонд на чипе TPU. Зонд предоставляет информацию об изменениях электромагнитного поля TPU в реальном времени. Электромагнитные данные с датчика, по сути, дают «сигнатуру» поведения обработки искусственного интеллекта. Чтобы определить архитектуру и детали слоев, электромагнитная сигнатура модели сравнивается с базой данных характеристик других систем ИИ, созданных на идентичном устройстве — в данном случае на другом Google Edge TPU.
Но как можно «украсть» модель, для которой еще нет сигнатуры? Исследователи разработали метод, позволяющий им приблизительно определить количество слоев в целевой нейросети. Слои — последовательные этапы обработки данных, где результат каждой операции служит исходными данными для следующей. Большинство моделей ИИ содержат от 50 до 242 слоев.
Вместо того, чтобы пытаться воссоздать полную электромагнитную сигнатуру, что потребовало бы непомерных вычислительных затрат, ее анализируют послойно. У ученых уже была база данных из 5000 характеристик первых слоев различных моделей. Оставалось сравнить «похищенный» идентификатор первого слоя с ними, чтобы найти наиболее близкое совпадение.
После восстановления первого слоя ученые используют его для выбора сигнатур, которые затем сравниваются со вторым слоем. Этот процесс продолжается, пока не восстанавливаются все части, что позволяет создать фактическую копию ИИ.
Этот метод позволил скопировать украденную нейросеть с точностью 99,91%. Следующим шагом станет разработка и реализация контрмер для защиты от уязвимости.
Ранее ученые превратили сетевой трафик в изображения для обнаружения взломов.
