Araştırmacılar, üzerinde çalıştığı çipten yayılan elektromanyetik (EM) sinyalleri kullanarak bir sinir ağının nasıl yeniden oluşturulacağını gösterdi.
“TPUXtract” adı verilen yöntem, Kuzey Carolina Eyalet Üniversitesi Elektrik ve Bilgisayar Mühendisliği Bölümü’nün izniyle geliyor. Binlerce dolar değerindeki ekipmanı ve “çevrimiçi şablon oluşturma” adı verilen yeni bir tekniği kullanan dört kişilik bir ekip, evrişimsel bir sinir ağının (CNN) hiperparametrelerini çıkarmak — yapısını ve davranışını tanımlayan ayarlar — Google Edge Tensör İşleme Birimi (TPU) üzerinde %99,91 doğrulukla çalışıyor.
Pratik olarak TPUXtract, önceden bilgisi olmayan bir siber saldırganın aslında bir yapay zeka (AI) modelini çalmasına olanak tanır: Bir modeli bütünüyle yeniden oluşturabilir ve fikri mülkiyet (IP) hırsızlığı amacıyla eğitim aldığı gerçek verileri kaydedebilir veya devam eden siber saldırılar.
TPUXtract Yapay Zeka Modellerini Yeniden Oluşturmak İçin Nasıl Çalışır?
Çalışma, daha küçük cihazlarda makine öğrenimi (ML) için tek kartlı bir bilgisayar olan Google Coral Dev Board üzerinde gerçekleştirildi: Think Edge, Nesnelerin İnterneti (IoT), tıbbi ekipman, otomotiv sistemleri vb. Araştırmacılar özellikle dikkat etti. kartın Kenar Tensör İşleme Birimi’ne (TPU), cihazın kalbinde yer alan ve karmaşık makine öğrenimi görevlerini verimli bir şekilde yürütmesine olanak tanıyan uygulamaya özel entegre devre (ASIC).
Bunun gibi herhangi bir elektronik cihaz, işlemlerinin bir yan ürünü olarak, doğası gerçekleştirdiği hesaplamalardan etkilenecek olan EM radyasyonu yayacaktır. Bunu bilen araştırmacılar, deneylerini TPU’nun üzerine bir EM probu yerleştirerek (soğutma fanları gibi engelleri ortadan kaldırarak) ve onu çipin en güçlü EM sinyallerini yayan kısmına merkezleyerek gerçekleştirdiler. Daha sonra makine giriş verilerini beslediler ve sızdırdığı sinyalleri kaydetti.
Bu sinyalleri anlamlandırmaya başlamak için ilk olarak, herhangi bir veri işlenmeden önce bir sinir ağının girdi verilerini niceleştirdiğini (sıkıştırdığını) belirlediler. Yalnızca veriler TPU için uygun bir formatta olduğunda çipten gelen EM sinyali yükselir ve hesaplamaların başladığını gösterir.
Bu noktada araştırmacılar modelin EM imzasını haritalamaya başlayabilirler. Ancak ağı oluşturan düzinelerce veya yüzlerce sıkıştırılmış katmanın tümünü aynı anda tahmin etmeye çalışmak gerçekten imkansız olurdu.
Bir sinir ağındaki her katman bazı özelliklerin birleşimine sahip olacaktır: Belirli türde bir hesaplama gerçekleştirecek, belirli sayıda düğüme sahip olacak, vb. Önemli olarak, “ilk katmanın özelliği ‘imzayı’ veya yan kanal modeli Araştırmacılardan biri olan Ashley Kurian, “ikinci katmanın ikinci katmanı” diyor. Dolayısıyla ikinci, 10. veya 100. katman hakkında herhangi bir şey anlamaya çalışmak, kendisinden öncekinin tüm özelliklerine dayandığı için giderek imkansız hale geliyor.
“Yani eğer ‘N’ katman varsa ve ‘K’ sayıda kombinasyon varsa [of hyperparameters] her katman için hesaplama maliyeti N’den K’ya yükseltilirdi” diye açıklıyor. Araştırmacılar 28 ila 242 katmanlı (N) sinir ağlarını incelediler ve K’nin (herhangi bir katman için olası konfigürasyonların toplam sayısı) 5.528’e eşit olduğunu tahmin ettiler. .
Soruna sonsuz bilgi işlem gücü vermek yerine, her katmanı sırayla izole edip analiz edebileceklerini düşündüler.
Bir sinir ağının her katmanını yeniden oluşturmak için araştırmacılar, hiperparametrelerin binlerce simüle edilmiş kombinasyonundan oluşan “şablonlar” oluşturdular ve verileri işlerken bunların yaydığı sinyalleri okudular. Daha sonra bu sonuçları, yaklaşmaya çalıştıkları modelin yaydığı sinyallerle karşılaştırdılar. En yakın simülasyon doğru kabul edilecektir. Daha sonra aynı işlemi bir sonraki katmana uyguladılar.
Kurian, “Geliştiricilerin haftalarca veya aylarca hesaplaması gereken bir sinir ağını bir gün içinde tamamen yeniden yaratabildik” dedi.
Çalınan Yapay Zekalar Fikri Mülkiyete, Şirketler İçin Siber Suç Riskine Yol Açıyor
TPUXtract’ı kaldırmak önemsiz değildir. Süreç, zengin teknik bilgi birikiminin yanı sıra çeşitli pahalı ve niş ekipmanlar da gerektirir.
NCSU araştırmacıları, çipin yüzeyini taramak için motorlu bir XYZ masasına sahip bir Riscure EM prob istasyonu ve zayıf radyo sinyallerini yakalamak için yüksek hassasiyetli bir elektromanyetik prob kullandı. Bir Picscope 6000E osiloskopu izleri kaydetti, Riscure’un icWaves sahada programlanabilir kapı dizisi (FPGA) cihazı bunları gerçek zamanlı olarak hizaladı ve icWaves alıcı-vericisi, alakasız sinyalleri tercüme etmek ve filtrelemek için bant geçiş filtreleri ve AM/FM demodülasyonunu kullandı.
Bireysel bir bilgisayar korsanı için ne kadar zorlu ve maliyetli olsa da Kurian şöyle diyor: “Bunu yapmak isteyen rakip bir şirket olabilir. [and they could] birkaç gün içinde. Örneğin, bir rakip gelişmek istiyor [a copy of] Tüm işi yapmadan ChatGPT. Bu, çok fazla para tasarrufu sağlamak için yapabilecekleri bir şey.”
Ancak fikri mülkiyet hırsızlığı, herkesin bir yapay zeka modelini çalmak isteyebileceği potansiyel nedenlerden yalnızca biridir. Kötü niyetli düşmanlar, popüler bir yapay zeka modelini kontrol eden düğmeleri ve kadranları gözlemlemekten de faydalanabilir. onları siber güvenlik açıkları açısından araştırın.
Özellikle iddialı olanlar için araştırmacılar, düzenli sinir ağı parametrelerinin çalınmasına odaklanan dört çalışmadan da bahsetti. Teorik olarak, TPUXtract ile birlikte kullanılan bu yöntemler, herhangi bir yapay zeka modelinin (parametreler ve hiper parametreler) tamamını yeniden oluşturmak için kullanılabilir.
Bu risklerle mücadele etmek için araştırmacılar, yapay zeka geliştiricilerinin sahte işlemler kullanarak veya rastgele işlemleri aynı anda çalıştırarak yapay zeka çıkarım sürecine gürültü katabileceğini veya işleme sırasında katmanların sırasını rastgele hale getirerek analizi karıştırabileceğini öne sürdü.
Kurian şöyle diyor: “Eğitim süreci sırasında geliştiricilerin bu katmanları eklemesi gerekecek ve model, bu gürültülü katmanların dikkate alınmasına gerek olmadığını bilecek şekilde eğitilmelidir.”