Pesquisadores demonstram nova técnica para roubar modelos de IA #ÚltimasNotícias

Os pesquisadores demonstraram a capacidade de roubar um modelo de inteligência artificial (IA) sem invadir o dispositivo onde o modelo estava sendo executado. A técnica é inovadora porque funciona mesmo quando o ladrão não tem conhecimento prévio do software ou arquitetura que suporta a IA.

“Os modelos de IA são valiosos, não queremos que as pessoas os roubem”, diz Aydin Aysu, coautor de um artigo sobre o trabalho e professor associado de engenharia elétrica e de computação na Universidade Estadual da Carolina do Norte. “Construir um modelo é caro e requer fontes de computação significativas. Mas, igualmente importante, quando um modelo é vazado ou roubado, o modelo também se torna mais vulnerável a ataques – porque terceiros podem estudar o modelo e identificar quaisquer pontos fracos.”

“Como observamos no artigo, os ataques de roubo de modelos em dispositivos de IA e de aprendizado de máquina prejudicam os direitos de propriedade intelectual, comprometem a vantagem competitiva dos desenvolvedores do modelo e podem expor dados confidenciais incorporados no comportamento do modelo”, diz Ashley Kurian, primeiro autor de o artigo e um Ph.D. estudante da NC State.

Neste trabalho, os pesquisadores roubaram os hiperparâmetros de um modelo de IA que estava rodando em uma unidade de processamento tensor (TPU) do Google Edge.

“Em termos práticos, isso significa que fomos capazes de determinar a arquitetura e as características específicas – conhecidas como detalhes da camada – e precisaríamos fazer uma cópia do modelo de IA”, diz Kurian.

“Como roubamos a arquitetura e os detalhes das camadas, conseguimos recriar os recursos de alto nível da IA”, diz Aysu. “Em seguida, usamos essas informações para recriar o modelo funcional de IA, ou um substituto muito próximo desse modelo.”

Os pesquisadores usaram o Google Edge TPU para esta demonstração porque é um chip disponível comercialmente que é amplamente utilizado para executar modelos de IA em dispositivos de ponta – ou seja, dispositivos utilizados por usuários finais em campo, em oposição aos sistemas de IA que são usados ​​para aplicativos de banco de dados. .

“Essa técnica poderia ser usada para roubar modelos de IA executados em muitos dispositivos diferentes”, diz Kurian. “Desde que o invasor conheça o dispositivo que deseja roubar, possa acessá-lo enquanto ele executa um modelo de IA e tenha acesso a outro dispositivo com as mesmas especificações, essa técnica deverá funcionar.”

A técnica utilizada nesta demonstração baseia-se no monitoramento de sinais eletromagnéticos. Especificamente, os pesquisadores colocaram uma sonda eletromagnética em cima de um chip TPU. A sonda fornece dados em tempo real sobre mudanças no campo eletromagnético da TPU durante o processamento de IA.

“Os dados eletromagnéticos do sensor nos fornecem essencialmente uma ‘assinatura’ do comportamento de processamento da IA”, diz Kurian. “Essa é a parte fácil.”

Para determinar a arquitetura do modelo de IA e os detalhes da camada, os pesquisadores comparam a assinatura eletromagnética do modelo a um banco de dados de outras assinaturas de modelos de IA feitas em um dispositivo idêntico – ou seja, outro Google Edge TPU, neste caso.

Como podem os investigadores “roubar” um modelo de IA para o qual ainda não possuem uma assinatura? É aí que as coisas ficam complicadas.

Os pesquisadores possuem uma técnica que permite estimar o número de camadas no modelo de IA alvo. Camadas são uma série de operações sequenciais que o modelo de IA executa, com o resultado de cada operação informando a operação seguinte. A maioria dos modelos de IA tem de 50 a 242 camadas.

“Em vez de tentar recriar toda a assinatura eletromagnética de um modelo, o que seria computacionalmente complicado, nós a dividimos por camadas”, diz Kurian. “Já temos uma coleção de 5.000 assinaturas de primeira camada de outros modelos de IA. Portanto, comparamos a assinatura roubada da primeira camada com as assinaturas da primeira camada em nosso banco de dados para ver qual delas corresponde mais de perto.

“Depois de fazermos a engenharia reversa da primeira camada, isso informa quais 5.000 assinaturas selecionamos para comparar com a segunda camada”, diz Kurian. “E esse processo continua até que façamos a engenharia reversa de todas as camadas e tenhamos efetivamente feito uma cópia do modelo de IA.”

Na sua demonstração, os investigadores mostraram que esta técnica foi capaz de recriar um modelo de IA roubado com 99,91% de precisão.

“Agora que definimos e demonstramos esta vulnerabilidade, o próximo passo é desenvolver e implementar contramedidas para protegê-la”, diz Aysu.

O artigo, “TPUXtract: An Exhaustive Hyperparameter Extraction Framework”, é publicado online pela Conference on Cryptographic Hardware and Embedded Systems. O artigo foi coautor de Anuj Dubey, ex-Ph.D. estudante da NC State, e Ferhat Yaman, ex-aluno de pós-graduação da NC State. O trabalho foi realizado com apoio da National Science Foundation, sob concessão número 1943245.

Os pesquisadores divulgaram a vulnerabilidade que identificaram ao Google.

-marinheiro-

Nota aos editores: O resumo do estudo segue.

“TPUXtract: uma estrutura exaustiva de extração de hiperparâmetros”

Autores: Ashley Kurian, Anuj Dubey, Ferhat Yaman e Aydin Aysu, Universidade Estadual da Carolina do Norte

Publicado: 12 de dezembro de 2024, Transações IACR em hardware criptográfico e sistemas embarcados

DOI: 10.46586/tches.v2025.i1.78-103

Resumo: Os ataques de roubo de modelos em dispositivos de IA/ML prejudicam os direitos de propriedade intelectual, comprometem a vantagem competitiva dos desenvolvedores do modelo original e potencialmente expõem dados confidenciais incorporados no comportamento do modelo a partes não autorizadas. Embora trabalhos de pesquisa anteriores tenham demonstrado recuperação bem-sucedida de modelos baseados em canal lateral em microcontroladores incorporados e aceleradores baseados em FPGA, a exploração de ataques a aceleradores comerciais de ML permanece amplamente inexplorada. Além disso, os ataques de canal lateral anteriores falham quando encontram modelos anteriormente desconhecidos. Este artigo demonstra o primeiro ataque de extração de modelo bem-sucedido na Google Edge Tensor Processing Unit (TPU), um acelerador de ML pronto para uso. Especificamente, mostramos um ataque de roubo de hiperparâmetros que pode extrair todas as configurações de camada, incluindo o tipo de camada, número de nós, tamanhos de kernel/filtro, número de filtros, avanços, preenchimento e função de ativação. Mais notavelmente, nosso ataque é o primeiro ataque exaustivo que pode extrair modelos inéditos. Isto é conseguido através de uma abordagem de construção de modelos online, em vez de uma abordagem pré-treinada baseada em ML usada em trabalhos anteriores. Nossos resultados em uma avaliação de caixa preta do Google Edge TPU mostram que, por meio de traços eletromagnéticos obtidos, nossa estrutura proposta pode atingir 99,91% de precisão, tornando-a a mais precisa até o momento. Nossas descobertas indicam que os invasores podem extrair com sucesso vários tipos de modelos em uma TPU comercial de caixa preta com o máximo de detalhes e exigir contramedidas.