Взломать ИИ больше нельзя: MIT создает чип, неуязвимый для хакеров

Исследователи MIT разработали новый тип ускорителя машинного обучения, который устойчив к наиболее распространенным видам атак. Устройство позволяет безопасно обрабатывать приложения для здоровья на смартфонах, не жертвуя приватностью пользовательских данных – медицинских записей или финансовой информацией.

Новый чип способен эффективно работать с LLM-моделями, что особенно актуально для приложений дополненной (AR) и виртуальной реальности (VR) или автономного вождения. Оптимизации, реализованные в ускорителе, обеспечивают высокую степень безопасности при минимальном снижении скорости устройства и без потери точности вычислений.

Чип MIT

Устройство использует процесс цифровых вычислений в памяти (digital in-memory compute, IMC), который позволяет выполнять вычисления непосредственно в памяти устройства, уменьшая необходимость в передаче данных между устройством и центральным сервером, что является характерной особенностью приложений для мониторинга здоровья. Такой подход помогает уменьшить количество передаваемых данных и защитить устройство от атак по сторонним каналам (side-channel attack), таких как мониторинг потребления энергии и анализ передачи данных.

При атаке по побочному каналу хакер отслеживает энергопотребление чипа и использует статистические методы для реверс-инжиниринга данных во время вычислений чипа. При атаке с зондированием шины хакер может украсть фрагменты модели и набора данных, проверяя связь между ускорителем и внешней памятью.

Ученые использовали трехступенчатую стратегию защиты от атак:

Специалисты применили технику разделения данных на случайные части, что усложняет возможность их восстановления при атаке.

Защита от атак на шину данных достигается за счет использования легковесного шифра, который зашифровывает модель, хранящуюся во внешней памяти, и расшифровывается только по мере необходимости непосредственно на чипе.

Ключ для расшифровки генерируется непосредственно на устройстве с использованием физически неклонируемой функции, основанной на случайных вариациях, возникающих в процессе изготовления чипа.

В ходе тестирования, где исследователи пытались взломать свой же чип, им не удалось извлечь никаких реальных данных, что подтверждает высокую степень защиты устройства. Даже после миллионов попыток специалисты не смогли восстановить реальную информацию или извлечь фрагменты модели или набора данных. Шифр также остался устойчивым ко взлому. Напротив, для кражи информации с незащищенного чипа потребовалось всего около 5000 образцов.

Отмечается, что добавление средств безопасности действительно снизило энергоэффективность ускорителя, а также потребовало большей площади чипа, что сделало его производство более дорогим. Команда планирует изучить методы, которые могли бы снизить энергопотребление и размер чипа, что облегчит его масштабную реализацию.

Авторы работы отмечают, что разработка чипа с учетом безопасности изначально является ключевым аспектом в конструкции современных устройств. Создание такой системы требует баланса между безопасностью, стоимостью и энергопотреблением, что важно для будущего мобильных технологий.