Недавние исследования показали, что теперь можно украсть искусственный интеллект (AI) без необходимости взлома устройства, на котором он работает. Ученые разработали уникальную технику, использующую онлайн-шаблоны, что значительно улучшает предыдущие методы. Эта новинка позволяет осуществлять кражу даже без предварительных знаний о программном обеспечении или архитектуре AI.
По словам одного из авторов исследования, создание AI-модели требует значительных затрат и ресурсов. Однако утечка модели делает её уязвимой для атак, так как третьи лица могут изучить её и выявить слабые места. Исследователи смогли не только определить архитектуру AI, но и извлечь детализированные гиперпараметры, такие как типы слоев, размеры ядер и функции активации.
В ходе эксперимента ученые смогли извлечь гиперпараметры AI-модели, работающей на Google Edge TPU. Это означает, что они смогли определить архитектуру и характеристики модели, что позволило им воссоздать функциональную модель AI с высокой точностью. Это первый случай, когда удалось извлечь гиперпараметры как для последовательных, так и для не последовательных моделей, включая сложные архитектуры.
Для демонстрации своей техники исследователи использовали Google Edge TPU, который широко применяется для запуска AI-моделей на устройствах. Они использовали электромагнитные сигналы, полученные с помощью специального датчика, чтобы отслеживать изменения в электромагнитном поле TPU во время обработки AI. Это дало возможность создать "подпись" поведения AI.
Команда также обратила внимание на этические аспекты и предложила меры защиты, такие как добавление шума, вставка фиктивных операций и динамическое изменение порядка выполнения слоев, чтобы предотвратить подобные атаки. Теперь, когда уязвимость определена, следующим шагом станет разработка и внедрение контрмер для защиты AI-моделей от кражи.