Новости Как «угнать» любую нейросеть за 24 часа? TPUXtract раскрывает все секреты

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
ЭМ-излучение становится главным оружием кибершпионов.


8yu00r9j5zg7udry43cbes5lfld9m90d.jpg


Учёные из Университета Северной Каролины разработали метод « Для просмотра ссылки Войди или Зарегистрируйся », позволяющий восстанавливать структуру нейронных сетей с помощью анализа электромагнитных (ЭМ) сигналов, излучаемых процессором во время работы. Этот подход позволяет киберпреступникам или конкурентам фактически копировать модели искусственного интеллекта и их данные.

Метод основывается на измерении ЭМ-сигналов, исходящих от Google Edge TPU — специализированного процессора для выполнения задач машинного обучения. Исследователи использовали дорогостоящее оборудование и технику «онлайн-создания шаблонов», чтобы с точностью до 99,91% восстановить гиперпараметры свёрточной нейронной сети. Это настройки, определяющие архитектуру и поведение модели.

Эксперимент проводился на Google Coral Dev Board — одноплатном компьютере для работы с ИИ на устройствах интернета вещей, медицинских приборах и автомобильных системах. Исследователи фиксировали ЭМ-сигналы, поступающие от процессора, когда он обрабатывал данные, и с их помощью создавали шаблоны, описывающие каждый слой сети.

Анализ проводился поэтапно. Сперва учёные идентифицировали признаки, по которым начинается обработка данных, затем восстанавливали сигнатуры отдельных слоёв модели. Используя тысячи симуляций гиперпараметров, они сопоставляли их с реальными данными и шаг за шагом воссоздавали структуру сети.

На воссоздание нейросети, разработка которой может занимать недели или месяцы, исследователям понадобился всего один день. Однако сам процесс требует технической экспертизы и дорогого оборудования, что пока ограничивает применение метода. Тем не менее, по словам участников проекта, компании-конкуренты способны адаптировать технологию для экономии средств и обхода длительных разработок.

Кроме кражи интеллектуальной собственности, метод «TPUXtract» может быть использован для поиска уязвимостей в популярных моделях ИИ. Более того, сочетание этого метода с другими техниками восстановления параметров сетей позволяет полностью копировать ИИ, включая его настройки и структуру.

Для защиты от подобных атак учёные предлагают добавлять «шум» в процесс анализа данных, например, использовать фиктивные операции или случайным образом изменять последовательность слоёв во время обработки. Это усложнит анализ и сделает воссоздание моделей более трудоёмким.
 
Источник новости
www.securitylab.ru

Похожие темы