如何在不实际破解任何东西的情况下窃取人工智能模型
作者:Harri Weber
人工智能模型可以令人惊讶地被窃取——只要你能以某种方式设法嗅出模型的电磁特征。北卡罗来纳州立大学的研究人员虽然一再强调他们实际上并不想帮助人们攻击神经网络,但他们在一篇文章中描述了这种技术新纸。他们所需要的只是一个电磁探测器、几个预先训练的开源人工智能模型和一个谷歌边缘张量处理单元(TPU)。他们的方法需要在 TPU 芯片主动运行时分析电磁辐射。
“构建和训练神经网络非常昂贵,”该研究的主要作者、北卡罗来纳州立大学博士说。学生阿什利·库里安(Ashley Kurian)在与 Gizmodo 的通话中。– 它是公司拥有的知识产权,需要大量的时间和计算资源。例如,ChatGPT 由数十亿个参数组成,这就是秘密。当有人窃取它时,ChatGPT 就是他们的了。你知道,他们不需要付钱,而且还可以卖掉它。”
盗窃已经成为人工智能领域备受关注的问题。然而,通常情况恰恰相反,因为人工智能开发人员在未经人类创造者许可的情况下,在受版权保护的作品上训练他们的模型。这种压倒性的模式是火花四射 诉讼甚至工具到帮助艺术家反击通过“中毒”艺术生成器。“来自传感器的电磁数据本质上为我们提供了人工智能处理行为的‘签名’,”库里安在一篇文章中解释道。
陈述,称之为“简单的部分。”——但为了破译模型的超参数——其架构和定义细节——他们必须比较电磁场数据当其他人工智能模型在同一类型的芯片上运行时捕获的数据。
在此过程中,他们“能够确定架构和特定特征(称为层详细信息),我们需要复制 AI 模型”,Kurian 解释道。补充说,他们的准确率可以达到“99.91%”。为了实现这一目标,研究人员可以物理访问芯片来探测和运行其他模型。他们还直接与谷歌合作,帮助该公司确定其芯片可攻击的程度。
例如,库里安推测,捕获在智能手机上运行的模型也是可能的,但它们的超紧凑设计本质上会使监测电磁信号变得更加困难。
“针对边缘设备的侧通道攻击并不是什么新鲜事,”人工智能标准非盈利组织 AtlasComputing 的安全研究员 Mehmet Sencan 告诉 Gizmodo。但这种提取整个模型架构超参数的特殊技术意义重大。”Sencan 解释说,因为人工智能硬件“以明文形式执行推理”,“任何在边缘或任何服务器上部署模型的人没有物理上的安全就必须假设它们的架构可以通过广泛的探测来提取。”
关于《如何在不实际破解任何东西的情况下窃取人工智能模型》的评论
暂无评论