В Корее представили технологию, позволяющую красть ИИ-модели на расстоянии с помощью небольшой антенны
- 11 часов назад
- 3 мин. чтения
Корреспондент Гу Бон Хёк
- Исследовательская группа под руководством профессора Хан Чжуна из факультета информатики KAIST разработала технологию «ModelSpy», позволяющую красть ИИ-модели на расстоянии
Иллюстрация дистанционного хищения ИИ-модели с помощью «ModelSpy» (данное изображение сгенерированно искусственным интеллектом) [Предоставлено KAIST]
Международная группа исследователей, в которую входят ученые из Южной Кореи, выявила новую угрозу безопасности, позволяющую похищать «чертежи» ИИ через стену, и предложила методы противодействия.
31 марта исследовательская группа во главе с профессором Хан Чжуна из факультета информатики KAIST сообщила, что в рамках совместного исследования с Национальным университетом Сингапура (NUS) и Китайским университетом Чжэцзян разработала систему атак «ModelSpy», способную с помощью небольшой антенны перехватывать структуру моделей искусственного интеллекта (ИИ) на расстоянии.
Эта технология, подобно устройству для прослушивания, улавливает слабые сигналы, возникающие при работе ИИ, и анализирует его внутреннюю структуру. Исследователи обратили внимание на электромагнитные волны, генерируемые графическим процессором (GPU), отвечающим за вычисления искусственного интеллекта.
Когда ИИ выполняет сложные вычисления, на GPU возникают слабые электромагнитные сигналы, и исследователи успешно восстановили структуру слоев модели и ее подробные настройки, проанализировав паттерны этих сигналов.
Результаты экспериментов показали, что в отношении пяти моделей новейших GPU можно с высокой точностью определить структуру модели искусственного интеллекта даже через стену или на расстоянии до 6 метров. В частности, слои - являющиеся ключевой структурой для моделей глубокого обучения - были определены с точностью до 97,6%.
Данная технология считается серьезной угрозой безопасности, поскольку позволяет осуществлять атаку с помощью небольшой антенны, которую можно поместить в сумку, без необходимости прямого проникновения на сервер или установки вредоносного кода, как в случае традиционных хакерских атак.
Рис. 1: На рисунке представлен пример сценария атаки с использованием ModelSpy. Злоумышленник, выдавая себя за сотрудника технической службы, проходит по коридору возле офиса компании, занимающейся искусственным интеллектом, и восстанавливает архитектуру глубокой нейронной сети (DNN) жертвы, перехватывая электромагнитные сигналы, проникающие через стену от графического процессора (GPU) жертвы, с целью облегчить последующие враждебные атаки по методу «черного ящика».
Рис. 3: На рисунке показан механизм утечки архитектуры в электромагнитном боковом канале. Цифровые компоненты на графическом процессоре непрерывно излучают несущие сигналы, которые амплитудно модулируются специфической для архитектуры активностью, такой как доступ к DRAM.
Рис. 4: На рисунке показана тестовая установка ModelSpy, состоящая из тестового хоста с графическим процессором и USRP B210 с всенаправленной антенной для сбора электромагнитных сигналов.
Рис. 5: На рисунке показаны сигналы, очищенные от шума, поступающие с графического процессора, когда хост выполняет инференцию (a) 12-слойной CNN-модели и (b) четырехслойной Transformer-модели.
Рис. 7: На рисунке представлен обзор конструкции ModelSpy. (a) Изображает фазу начальной настройки, в которой механизм реконструкции предварительно обучается на трассировках DRAM от случайных архитектур DNN и тонко настраивается с помощью электромагнитных сигналов. (b) Изображает фазу атаки, в которой обученный механизм реконструирует полную архитектуру DNN типа «черный ящик» на основе перехваченных электромагнитных сигналов графического процессора.
Рис. 9: На рисунке показана конструкция механизма реконструкции ModelSpy, где контекстные признаки на уровне временного шага извлекаются из сигналов EM (этап I) и им присваиваются метки слоев (этап II). Затем контекстные признаки с метками слоев поступают на этап III для оценки гиперпараметров.
Рис. 12: На рисунке показана схема эксперимента «через стену», в котором хост-жертва и злоумышленник разделены стеной; сниффер спрятан в рюкзаке злоумышленника.
Рис. 17–20: На рисунках показана эффективность ModelSpy при различных расстояниях; при различных типах стен; при использовании различных библиотек DNN и при наличии окружающих электромагнитных помех.
Хан Чжун, профессор факультета информатики KAIST [Предоставлено KAIST]
Исследовательская группа считает, что в случае злоупотребления этой технологией ключевые ИИ-активы компаний могут утечь за пределы организации, и предложила соответствующие меры противодействия, такие как создание электромагнитных помех и обфускация вычислений. Данная работа оценивается как пример ответственного исследования в области безопасности, поскольку она выходит за рамки простой демонстрации атаки и предлагает реалистичные меры защиты.
«Данное исследование показывает, что системы ИИ могут подвергаться новым атакам даже в физической среде» - сказал профессор Хан Чжун, добавив: «Для защиты ключевой инфраструктуры ИИ, такой как системы автономного вождения или объекты государственной инфраструктуры, важно создать систему «кибер-физической безопасности», охватывающую как аппаратное, так и программное обеспечение».
Результаты данного исследования представлены на «NDSS (Network and Distributed System Security Symposium) 2026», наиболее авторитетной научной конференции в области компьютерной безопасности.
Комментарии