研究人员利用电磁信号从Google边缘 TPU 中窃取并复制了人工智能模型,准确率高达 99.91%,暴露了人工智能系统中的重大漏洞,并呼吁采取紧急保护措施。
研究人员已经证明,有可能在不直接入侵设备的情况下窃取人工智能(AI)模型。 这种创新技术不需要事先了解支持人工智能的软件或架构,是模型提取方法的一大进步。
关于这项工作的一篇论文的共同作者、 北卡罗来纳州立大学电气与计算机工程副教授艾登-艾苏(Aydin Aysu)说:"人工智能模型很有价值,我们不希望人们窃取它们。建立模型的成本很高,需要大量的计算资源。 但同样重要的是,当模型被泄露或窃取时,模型也更容易受到攻击--因为第三方可以研究模型并找出任何弱点。"
"正如我们在论文中指出的那样,对人工智能和机器学习设备的模型窃取攻击会破坏知识产权,损害模型开发者的竞争优势,并可能暴露模型行为中蕴含的敏感数据,"论文第一作者、北卡罗来纳州立大学博士生阿什利-库里安(Ashley Kurian)说。
在这项工作中,研究人员窃取了在Google边缘张量处理单元(TPU)上运行的人工智能模型的超参数。
库里安说:"实际上,这意味着我们能够确定制作一个人工智能模型副本所需的架构和具体特征(称为层细节)。因为我们窃取了架构和层细节,所以我们能够重新创建人工智能的高级功能。然后,我们利用这些信息重新创建了功能性人工智能模型,或者是该模型的一个非常接近的替代模型。"
研究人员之所以使用Google边缘 TPU 进行演示,是因为它是一种商用芯片,广泛用于在边缘设备上运行人工智能模型--即终端用户在现场使用的设备,而不是用于数据库应用的人工智能系统。
库里安说:"这种技术可以用来窃取运行在许多不同设备上的人工智能模型。只要攻击者知道他们想要窃取的设备,能够在设备运行人工智能模型时访问该设备,并且能够访问具有相同规格的另一台设备,这种技术就应该能够奏效。"
这次演示中使用的技术依赖于对电磁信号的监测。 具体来说,研究人员在 TPU 芯片顶部放置了一个电磁探针。 探针可提供人工智能处理过程中 TPU 电磁场变化的实时数据。
传感器的电磁数据基本上为我们提供了人工智能处理行为的'签名',这是最简单的部分。为了确定人工智能模型的架构和层细节,研究人员将该模型的电磁特征与在相同设备上制作的其他人工智能模型特征数据库进行了比较,在本例中指的是另一个Google边缘 TPU。
研究人员如何才能"窃取"一个他们还没有签名的人工智能模型呢? 这就是事情变得棘手的地方。但研究人员掌握了一种技术,可以估算出目标人工智能模型的层数。 层是人工智能模型执行的一系列顺序操作,每个操作的结果都会为下一个操作提供信息。 大多数人工智能模型有 50 到 242 层。
库里安说:"我们不会试图重新创建模型的整个电磁特征,因为这在计算上是难以承受的。我们已经收集了来自其他人工智能模型的 5000 个第一层签名。 因此,我们会将被盗的第一层签名与我们数据库中的第一层签名进行比较,看哪一个最匹配。一旦我们逆向工程了第一层,我们就会选择 5000 个签名与第二层进行比较,这个过程一直持续到我们逆向工程了所有层,并有效地复制了人工智能模型。"
研究人员在演示中表明,这种技术能够以 99.91% 的准确率重新创建一个被盗的人工智能模型。
研究人员已经定义并演示了这个漏洞,下一步就是开发并实施反制措施来防范它。
这项工作是在美国国家科学基金会(National Science Foundation)第 1943245 号基金的支持下完成的。研究人员向Google披露了他们发现的漏洞。
DOI: 10.46586/tches.v2025.i1.78-103
编译自/ScitechDaily
