Вчені знайшли ключову вразливість у безпеці штучного інтелекту

Дослідники виявили серйозну вразливість у безпеці нейромереж, показавши, що моделі штучного інтелекту можна красти, аналізуючи електромагнітні сигнали пристроїв, на яких вони працюють. Техніка, продемонстрована на Google Edge TPU, дозволяє з точністю 99,91% відтворити архітектуру та функціональність ШІ-моделі, навіть не маючи попередніх знань про її характеристики, пише SciTechDaily.

Метод базується на моніторингу змін в електромагнітному полі під час роботи моделі. Зібрані сигнали порівнюються з базою даних, що містить підписи інших моделей. Таким чином, дослідники покроково відтворюють шари ШІ, використовуючи електромагнітні «підписи» кожного з них. Це дозволяє створити копію моделі без прямого доступу до неї.

Техніка працює на багатьох пристроях за умови, що зловмисник має доступ до пристрою під час роботи ШІ-моделі та до іншого пристрою з аналогічними характеристиками. У демонстрації використовували комерційний чіп Google Edge TPU, який широко застосовується в пристроях кінцевих користувачів.

Вразливість не лише ставить під загрозу інтелектуальну власність, а й може відкрити доступ до вразливостей моделей, що дозволить стороннім особам проводити атаки. Автори закликають розробників до впровадження захисних заходів, щоб убезпечити моделі від такого роду атак.

Робота, яка підтримувалася Національним науковим фондом США, була представлена на конференції з криптографічного обладнання та вбудованих систем. Дослідники також повідомили компанію Google про виявлену вразливість.