Модель искусственного интеллекта можно украсть без всякого взлома, — ученые

Необходимо много средств и времени, чтобы обучить модель искусственного интеллекта. И относительно мало усилий, чтобы украсть её. Для этого не нужно воровство или утечка данных.

Украсть ИИ можно с помощью электромагнитного «подписи» модели. Исследователи из Университета Северной Каролины описали такую технику в статье. Им понадобился электромагнитный зонд, несколько заранее подготовленных моделей искусственного интеллекта с открытым кодом и блок обработки тензоров Google (Google Edge Tensor Processing Unit, TPU). Метод заключается в анализе электромагнитного излучения во время работы TPU.

Чтобы расшифровать параметры модели, учёным пришлось сравнить данные электромагнитного поля с данными работы других моделей искусственного интеллекта, которые работали на том же чипе. Исследователям удалось определить архитектуру и конкретные характеристики, известные как детали слоя. Это позволило им сделать копию модели искусственного интеллекта с точностью 99,91%. Для этого нужен физический доступ к чипу — для зондирования, а также для запуска других моделей. Ученые сотрудничали напрямую с Google, чтобы помочь компании определить, насколько её чипы подвержены атакам.

Атаки, направленные на боковые каналы информации, связанные с работой устройств, не новы. Но эта конкретная техника извлечения параметров архитектуры всей модели важна, поскольку аппаратное обеспечение искусственного интеллекта создаёт вывод в открытом тексте. Модели, развёрнутые на физически незащищённом сервере, уязвимы для неё.

Исследователи также предполагают возможность украсть модель со смартфонов и других устройств. Но их компактный дизайн усложняет мониторинг электромагнитного поля.

Источник: Gizmodo