Исследователи обнаружили серьезную уязвимость в безопасности нейронных сетей, показав, что модели искусственного интеллекта могут быть украдены путем анализа электромагнитных сигналов устройств, на которых они работают. Методика, продемонстрированная на Google Edge TPU, позволяет воспроизвести архитектуру и функциональность AI-модели с точностью 99,91% даже без предварительного знания ее характеристик, пишет SciTechDaily.
Метод основан на отслеживании изменения электромагнитного поля в процессе работы модели. Собранные сигналы сравниваются с базой данных, содержащей сигнатуры других моделей. Таким образом, исследователи шаг за шагом воссоздали слои ИИ, используя электромагнитные «сигнатуры» каждого из них. Это позволяет создать копию модели без прямого доступа к ней.
Методика работает на многих устройствах при условии, что злоумышленник имеет доступ к устройству, при этом модель ИИ работает и на другом устройстве с аналогичными характеристиками. В демонстрации используется коммерческий чип Google Edge TPU, который широко используется в устройствах конечных пользователей.
Эта уязвимость не только подвергает риску интеллектуальную собственность, но также может открыть доступ к уязвимостям модели, позволяя третьим лицам запускать атаки. Авторы призывают разработчиков внедрить дополнительные меры безопасности для защиты моделей от атак такого типа.
Работа, поддержанная Национальным научным фондом США, была представлена на конференции по криптографическому оборудованию и встраиваемым системам. Исследователи также сообщили Google об обнаруженной уязвимости.
