Как «угнать» любую нейросеть за 24 часа? TPUXtract раскрывает все секреты

leer en español

Как «угнать» любую нейросеть за 24 часа? TPUXtract раскрывает все секреты

ЭМ-излучение становится главным оружием кибершпионов.

image

Учёные из Университета Северной Каролины разработали метод « TPUXtract », позволяющий восстанавливать структуру нейронных сетей с помощью анализа электромагнитных (ЭМ) сигналов, излучаемых процессором во время работы. Этот подход позволяет киберпреступникам или конкурентам фактически копировать модели искусственного интеллекта и их данные.

Метод основывается на измерении ЭМ-сигналов, исходящих от Google Edge TPU — специализированного процессора для выполнения задач машинного обучения. Исследователи использовали дорогостоящее оборудование и технику «онлайн-создания шаблонов», чтобы с точностью до 99,91% восстановить гиперпараметры свёрточной нейронной сети. Это настройки, определяющие архитектуру и поведение модели.

Эксперимент проводился на Google Coral Dev Board — одноплатном компьютере для работы с ИИ на устройствах интернета вещей, медицинских приборах и автомобильных системах. Исследователи фиксировали ЭМ-сигналы, поступающие от процессора, когда он обрабатывал данные, и с их помощью создавали шаблоны, описывающие каждый слой сети.

Анализ проводился поэтапно. Сперва учёные идентифицировали признаки, по которым начинается обработка данных, затем восстанавливали сигнатуры отдельных слоёв модели. Используя тысячи симуляций гиперпараметров, они сопоставляли их с реальными данными и шаг за шагом воссоздавали структуру сети.

На воссоздание нейросети, разработка которой может занимать недели или месяцы, исследователям понадобился всего один день. Однако сам процесс требует технической экспертизы и дорогого оборудования, что пока ограничивает применение метода. Тем не менее, по словам участников проекта, компании-конкуренты способны адаптировать технологию для экономии средств и обхода длительных разработок.

Кроме кражи интеллектуальной собственности, метод «TPUXtract» может быть использован для поиска уязвимостей в популярных моделях ИИ. Более того, сочетание этого метода с другими техниками восстановления параметров сетей позволяет полностью копировать ИИ, включая его настройки и структуру.

Для защиты от подобных атак учёные предлагают добавлять «шум» в процесс анализа данных, например, использовать фиктивные операции или случайным образом изменять последовательность слоёв во время обработки. Это усложнит анализ и сделает воссоздание моделей более трудоёмким.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь