Bilim insanları yapay zeka modelini kandırarak sırlarını ifşa ediyor

Bilim insanları yapay zeka modelini kandırarak sırlarını ifşa ediyor

Google Edge TPU'nun model hiperparametrelerinden vazgeçmesini sağlamak için gereken tek şey belirli bir donanım, yeni bir saldırı tekniği... ve birkaç gündü

Kuzey Carolina Eyalet Üniversitesi'nden bilgisayar bilimcileri, Google Pixel telefonlarında ve üçüncü taraf makine öğrenimi hızlandırıcılarında kullanılan Google Edge Tensör İşleme Birimleri'nde (TPU'lar) çalışan AI modellerini kopyalamanın bir yolunu geliştirdiler...

NC Eyalet araştırmacıları Ashley Kurian, Anuj Dubey, Ferhat Yaman ve Aydin Aysu tarafından geliştirilen teknik, TPU'larda çalışırken AI modeli kullanımının (çıkarım) elektromanyetik yoğunluğunu ölçen ve bu ölçümleri model hiperparametrelerini çıkarmak için kullanan bir yan kanal saldırısıdır.

Makine öğrenimi modeli hiperparametreleri, model eğitimini etkileyen eğitim sürecinden önce ayarlanan değerlere atıfta bulunur - öğrenme hızı, toplu boyut veya havuz boyutu. Bunlar, modele dahili olan ve eğitim sırasında öğrenilen ağırlıklar gibi model parametrelerinden farklıdır.

Her ikisine de sahip bir rakip, orijinal eğitim sürecinde ortaya çıkan maliyetten çok daha düşük bir maliyetle bir AI modelini yeniden üretebilir; AI modelleri oluşturmak için milyarlar harcayan geliştiricilerin kaçınmayı tercih edebileceği bir şey. Zaten çeşitli parametre çıkarma teknikleri var.

Araştırmacılar, "TPUXtract: Kapsamlı Bir Hiperparametre Çıkarma Çerçevesi" adlı makalelerinde, "Bir hiperparametre çalma saldırısı ve ardından parametre çıkarma, çıkarılan bilgilerle kurban modelini taklit eden yüksek doğrulukta bir yedek model oluşturabilir" diye açıklıyor.

Daha önce sınırlı hiperparametre saldırıları olmuş olsa da araştırmacılar, saldırılarının kapsamlı bir hiperparametre çıkarma gerçekleştiren ilk saldırı ve Google Edge TPU'yu hedef alan ilk model çalma saldırısı olduğunu iddia ediyor.

Makalenin ortak yazarlarından ve NC State'te doçent olan Aydin Aysu bir açıklamada, "Mimariyi ve katman ayrıntılarını çaldığımız için AI'nın üst düzey özelliklerini yeniden yaratabildik" diye açıkladı. "Daha sonra bu bilgileri işlevsel AI modelini veya bu modelin çok yakın bir vekilini yeniden yaratmak için kullandık."

Saldırı senaryosu, saldırganın çıkarım sırasında cihaza (Google Edge TPU'lu bir Coral Dev Board) erişimi olduğunu ve Riscure donanımı (icWaves, Transceiver, Yüksek Hassasiyetli EM probu) ve bir PicoScope Osiloskopu kullanarak elektromanyetik ölçümler gerçekleştirebileceğini varsayar. Yazılım dağıtım ortamının (Edge TPU için TF Lite) bilgisi de varsayılır. Ancak, Edge TPU'nun mimarisi ve talimat seti hakkındaki ayrıntılar gerekli değildir.

Araştırmacıların yaklaşımı, her bir sinir ağı katmanı hakkında sırayla bilgi çıkarmayı ve ardından her katman için çıkarılan hiperparametreleri katman çıkarma çerçevesine geri beslemeyi içerir. Bu, tüm modele karşı pratik olmayan bir kaba kuvvet saldırısı gerektiren ancak modelin yalnızca bazı hiperparametrelerini üreten önceki çabalardaki sorunların üstesinden gelir.

Araştırmacılara göre, yaklaşımları bir modeli %99,91 doğrulukla yeniden yaratabilir. MobileNet V3, Inception V3 ve ResNet-50 gibi modellerde test edilen süreç, katman başına yaklaşık üç saat sürer. Makalede alıntılanan modeller 28 ila 242 katman arasında değişiyor.

Yazarlar makalelerinde, "Araştırmamız, bir saldırganın, kara kutu ortamında bile, çıkarım sırasında EM yayılımlarını gözlemleyerek bir sinir ağının hiperparametrelerini etkili bir şekilde tersine mühendislik yapabileceğini gösteriyor." diyor. "Yaklaşımımızın kapsamı ve doğruluğu, Edge TPU gibi ticari hızlandırıcıların çeşitli gerçek dünya senaryolarında model çalmaya karşı savunmasızlığı konusunda önemli endişeler yaratıyor."

Google, araştırmacıların bulgularının farkında ve kayıt hakkında yorum yapmayı reddetti. The Register, utangaç iletişimcilerle yaptığı görüşmelerden, Coral Dev Board'un seçilmesinin nedenlerinden birinin bellek şifrelemesi uygulamaması olduğunu anlıyor.

Kaynak: The Register