Новая технология позволяет «воровать» нейросети: зачем это нужно

Для таких махинаций понадобятся электромагнитные сигналы. Рассказываем, кто может пострадать от злоумышленников.

Исследователи продемонстрировали возможность кражи модели искусственного интеллекта без взлома устройства, на котором она работала, пишет TechXplore. Новизна этого метода заключается в том, что он применим, даже если хакер ничего не знает о программном обеспечении или архитектуре, поддерживающих ИИ. Создание нейросети — дорогостоящий процесс, требующий больших вычислительных ресурсов. Но что не менее важно, при «утечке» она становится более уязвимой для атак.

Кража моделей искусственного интеллекта и машинного обучения, установленных на устройствах, нарушает права интеллектуальной собственности, наносит ущерб разработчикам и ставит под удар их конкурентные преимущества. Также это может привести к раскрытию конфиденциальной информации, заложенной в поведение системы.

В своем эксперименте исследователи украли гиперпараметры модели, которая работала на тензорном процессоре Google Edge (TPU). Это коммерчески доступный чип, широко применяемый для запуска ИИ-алгоритмов на периферийных устройствах, то есть используемых конечными пользователями.

Команда смогла определить архитектуру и конкретные характеристики нейросети. В этом им помог мониторинг электромагнитных сигналов. Исследователи разместили электромагнитный зонд на чипе TPU. Зонд предоставляет информацию об изменениях электромагнитного поля TPU в реальном времени. Электромагнитные данные с датчика, по сути, дают «сигнатуру» поведения обработки искусственного интеллекта. Чтобы определить архитектуру и детали слоев, электромагнитная сигнатура модели сравнивается с базой данных характеристик других систем ИИ, созданных на идентичном устройстве — в данном случае на другом Google Edge TPU.