![چین از یک ربات با توانایی چرخش ۳۲۰ درجه در ناحیه کمر رونمایی کرد! [تماشا کنید]](https://aero-tech.ir/wp-content/uploads/2024/12/aero-tech-china-robot-320-waist-spin-1-scaled-e1735294899306.jpg)
محققان با استفاده از سیگنالهای الکترومغناطیسی توانستند مدلهای هوش مصنوعی را از یک Google Edge TPU با دقت 99.91 درصد سرقت کرده و بازتولید کنند. این یافته ضعفهای قابلتوجهی در سیستمهای هوش مصنوعی را آشکار کرده و لزوم اتخاذ تدابیر حفاظتی فوری را برجسته میکند.
محققان نشان دادهاند که امکان سرقت یک مدل هوش مصنوعی بدون نیاز به هک مستقیم دستگاهی که مدل بر روی آن اجرا میشود وجود دارد. این تکنیک نوآورانه به هیچ دانش قبلی از نرمافزار یا معماری پشتیبان هوش مصنوعی نیاز ندارد که آن را به پیشرفتی مهم در روشهای استخراج مدل تبدیل کرده است.
آیدین آیسو، یکی از نویسندگان مقالهای در این زمینه و استاد مهندسی برق و کامپیوتر در دانشگاه ایالتی کارولینای شمالی گفت:
مدلهای هوش مصنوعی ارزشمند هستند و ما نمیخواهیم کسی آنها را بدزدد، ساختن یک مدل گران است و به منابع محاسباتی قابلتوجهی نیاز دارد. اما به همان اندازه مهم است که وقتی مدلی نشت میکند یا دزدیده میشود، آسیبپذیری بیشتری در برابر حملات پیدا میکند، زیرا افراد ثالث میتوانند مدل را مطالعه کرده و نقاط ضعف آن را شناسایی کنند.
اشلی کورین، نویسنده اصلی مقاله و دانشجوی دکترای دانشگاه NC State میگوید:
همانطور که در مقاله اشاره کردهایم، حملات سرقت مدلها در دستگاههای هوش مصنوعی و یادگیری ماشین، حقوق مالکیت فکری را تضعیف میکند، مزیت رقابتی توسعهدهندگان مدل را به خطر میاندازد و میتواند دادههای حساس جاسازیشده در رفتار مدل را فاش کند.
سرقت هایپرپارامترهای هوش مصنوعی
در این تحقیق، محققان هایپرپارامترهای یک مدل هوش مصنوعی که بر روی یک Google Edge TPU اجرا میشد را سرقت کردند.
کورین میگوید:
به زبان ساده، این به معنای آن است که ما توانستیم معماری و ویژگیهای خاص مورد نیاز (که به عنوان جزئیات لایه شناخته میشود) برای ایجاد کپی از مدل هوش مصنوعی را شناسایی کنیم.
آیسو میگوید
از آنجاییکه ما معماری و جزئیات لایه را سرقت کردیم، توانستیم ویژگیهای سطح بالای هوش مصنوعی را بازسازی کنیم. سپس از این اطلاعات برای بازسازی مدل عملکردی هوش مصنوعی یا یک نمونه بسیار نزدیک به آن استفاده کردیم.
محققان برای این نمایش از Google Edge TPU استفاده کردند زیرا این تراشه بهطور گستردهای برای اجرای مدلهای هوش مصنوعی در دستگاههای انتهایی (edge devices) مورد استفاده قرار میگیرد، یعنی دستگاههایی که توسط کاربران نهایی در محیط عملیاتی به کار گرفته میشوند، نه سیستمهای هوش مصنوعی که برای کاربردهای پایگاه داده استفاده میشوند.
کورین میگوید:
این تکنیک میتواند برای سرقت مدلهای هوش مصنوعی که روی دستگاههای مختلف اجرا میشوند، مورد استفاده قرار گیرد. تا زمانی که مهاجم دستگاهی که قصد سرقت از آن دارد را بشناسد، بتواند زمانی که مدل در حال اجرا است به آن دسترسی پیدا کند و به دستگاه دیگری با همان مشخصات دسترسی داشته باشد، این تکنیک میتواند کار کند.
این تکنیک بر پایش سیگنالهای الکترومغناطیسی متکی است. بهطور خاص، محققان یک پراب الکترومغناطیسی را بر روی یک تراشه TPU قرار دادند. این پراب، دادههای بلادرنگی از تغییرات میدان الکترومغناطیسی TPU در طول پردازش هوش مصنوعی ارائه میدهد.
کورین میگوید:
دادههای الکترومغناطیسی از حسگر اساساً یک ‘امضا’ از رفتار پردازش هوش مصنوعی به ما میدهد. این قسمت آسان است.
برای تعیین معماری و جزئیات لایههای مدل هوش مصنوعی، محققان امضای الکترومغناطیسی مدل را با یک پایگاه داده از امضاهای مدلهای دیگر که روی دستگاه مشابهی ساخته شده بود (در این مورد یک Google Edge TPU دیگر) مقایسه کردند.
مهندسی معکوس مدلهای هوش مصنوعی
چگونه محققان میتوانند یک مدل هوش مصنوعی را “بدزدند” در حالی که امضای آن را از قبل ندارند؟ اینجاست که کار پیچیده میشود.
محققان از تکنیکی استفاده میکنند که به آنها امکان میدهد تعداد لایههای مدل هدفگذاریشده هوش مصنوعی را تخمین بزنند. لایهها مجموعهای از عملیات متوالی هستند که مدل هوش مصنوعی انجام میدهد و نتیجه هر عملیات ورودی عملیات بعدی را فراهم میکند. بیشتر مدلهای هوش مصنوعی بین ۵۰ تا ۲۴۲ لایه دارند.
کورین میگوید:
به جای تلاش برای بازسازی کامل امضای الکترومغناطیسی یک مدل که از نظر محاسباتی بسیار سنگین خواهد بود، ما آن را به لایهها تقسیم میکنیم. ما قبلاً مجموعهای از ۵,۰۰۰ امضای لایه اول از مدلهای دیگر هوش مصنوعی داریم. بنابراین، امضای لایه اول مدل سرقتشده را با امضاهای لایه اول موجود در پایگاه داده خود مقایسه میکنیم تا ببینیم کدام یک بیشترین تطابق را دارد.
او میافزاید:
وقتی لایه اول را مهندسی معکوس میکنیم، این اطلاعات تعیین میکند که کدام ۵,۰۰۰ امضا را برای مقایسه با لایه دوم انتخاب کنیم. این فرآیند ادامه پیدا میکند تا زمانی که تمام لایهها مهندسی معکوس شوند و ما بهطور مؤثری یک کپی از مدل هوش مصنوعی ساخته باشیم.
محققان در نمایش خود نشان دادند که این تکنیک قادر است مدل هوش مصنوعی سرقتشده را با دقت 99.91% بازسازی کند.
آیسو میگوید:
حالا که این آسیبپذیری تعریف و نمایش داده شده است، گام بعدی توسعه و پیادهسازی اقدامات مقابلهای برای محافظت در برابر آن است.
منبع: Scitechdaily
