Как украсть ИИ?

Создать ИИ непросто. Его обучение требует затрат энергии, времени и вычислительных ресурсов. Кража его модели наносит владельцу значительный ущерб, который может быть несопоставим с усилиями на создание нейросети, особенно если потеряны конфиденциальные данные, коммерческие или государственные секреты. Возможность воровства обесценивает производство электронных чипов, содержащих модель. Она становится уязвимой для атак, третьи лица могут изучить ее и выявить слабые места.

Исследователи уже продемонстрировали, что типовые модели ИИ можно воссоздать на основе данных, извлеченных из передаваемой ими информации. Однако это невозможно, если тип модели неизвестен заранее. Серийные же электронные чипы, предназначенные для машинного обучения, до сих пор оставались неизученными. Поэтому инженеры Университета штата Северная Каролина под началом профессора Айдина Айсу (Aydin Aysu) решили проверить уязвимость тензорного процессора Google Edge TPU к извлечению работающего на нем ИИ. Этот коммерчески доступный чип широко используют в мире для запуска моделей на периферийных устройствах конечных пользователей.

Поверх чипа инженеры поместили электромагнитный зонд, чтобы в режиме реального времени отслеживать изменения электромагнитного поля при работе модели. Чтобы определить ее архитектуру и детали параметров, исследователи сравнивали полученную информацию с базой данных других моделей ИИ, организованных на идентичном чипе. Ученые разработали новую методику, позволяющую оценить количество слоев, то есть последовательных операций модели при работе. Обычно ИИ содержит от 50 до 242 слоев. Поэтапное выделение каждого из них и позволило получить точную информацию об архитектуре модели. На ее основе ученые затем создавали свою, максимально близкую к ней модель.

Эксперимент показал, что описанным способом можно восстановить украденный ИИ с точностью до 99,91%. Это означает, что возможно полностью скопировать модель даже без взлома устройства, на котором она работает. При этом не нужно предварительно знать ни программное обеспечение, ни архитектуру модели.

Метод позволяет воровать модели, работающие на самых разных устройствах. Главное условие — злоумышленник должен иметь чип с такими же характеристиками, как и чип с ИИ. По мнению авторов, такая вопиющая уязвимость требует от фирмы Google срочной разработки и внедрения защитных мер (Conference on Cryptographic Hardware and Embedded Syste).