研究人员询问人工智能模型以使其显露出来
北卡罗来纳州立大学的计算机科学家设计了一种方法来复制在 Google Edge 张量处理单元 (TPU) 上运行的 AI 模型,如 Google Pixel 手机和第三方机器学习加速器中所使用的那样。
该技术由北卡罗来纳州立大学研究人员 Ashley Kurian、Anuj Dubey、Ferhat Yaman 和 Aydin Aysu 开发,是一种旁道攻击,可测量在 TPU 上运行时 AI 模型使用(推理)的电磁强度,并利用这些测量值来推断模型超参数。
机器学习模型超参数指在训练过程之前设置的影响模型训练的值——学习率、批量大小或池大小。它们与模型参数(例如权重)不同,后者是模型内部的并在训练过程中学习的。
具备这两种能力的对手大多可以以远低于原始训练过程的成本来复制人工智能模型,而花费数十亿美元构建人工智能模型的开发人员可能更愿意避免这种情况。已经有各种范围 萃取 技巧。
研究人员在他们的研究中解释道:“超参数窃取攻击后进行参数提取,可以使用提取的信息创建高保真替代模型来模仿受害者模型。”纸,“TPUXtract:详尽的超参数提取框架。”
虽然之前发生过有限的超参数攻击,但研究人员声称他们的攻击是第一个执行全面的超参数提取的攻击,也是第一个针对谷歌边缘 TPU。
“因为我们窃取了架构和层细节,所以我们能够重新创建人工智能的高级功能,”该论文的合著者、北卡罗来纳州立大学副教授艾丁·阿苏 (Aydin Aysu) 解释道。一份声明。“然后我们使用这些信息来重新创建功能性人工智能模型,或者该模型的非常接近的替代品。”
- LLM 性能作弊代码:推测性解码简介
- 欧盟委员会告诉我们,仔细看看 Nvidia 对 Run.ai 的收购
- 价值 800 美元的“AI”儿童机器人与它的制造商一起被淘汰
- 谷歌认为电网无法支持人工智能,因此正在为未来的数据中心投资太阳能
攻击场景假设对手有权访问设备 –珊瑚开发板在推理期间使用 Google Edge TPU – 并可以使用 Riscure 硬件进行电磁测量(集成电路波、收发器、高灵敏度电磁探头)和 PicoScope 示波器。还假设了解软件部署环境(Edge TPU 的 TF Lite)。但是,不需要有关 Edge TPU 架构和指令集的详细信息。
研究人员的方法包括依次提取有关每个神经网络层的信息,然后将每层提取的超参数反馈回层提取框架。这克服了先前工作中需要对整个模型进行不切实际的强力攻击但仅产生模型的一些超参数的问题。
据研究人员称,他们的方法能够以 99.91% 的准确度重新创建模型。该过程(在 MobileNet V3、Inception V3 和 ResNet-50 等模型上进行测试)每层大约需要三个小时。论文中引用的模型层数从 28 层到 242 层不等。
作者在论文中表示:“我们的研究表明,对手可以通过在推理过程中观察神经网络的电磁发射来有效地对神经网络的超参数进行逆向工程,即使是在黑匣子环境中也是如此。”“我们方法的覆盖范围和准确性引起了人们对 Edge TPU 等商业加速器在各种现实场景中模型窃取的脆弱性的严重担忧。”
谷歌了解研究人员的发现,但拒绝对此记录发表评论。登记册从与害羞的通讯人员的对话中了解到,选择 Coral 开发板的原因之一是它没有实现内存加密。®
关于《研究人员询问人工智能模型以使其显露出来》的评论
暂无评论