Kelemahan AI: Peneliti Mengungkap Kelemahan Keamanan Model Utama

Esiklopedia Telkom University Portal rangkuman informasi dari semua cabang pengetahuan Januari 25, 2025

0 21 3 minutes read

Kelemahan AI: Peneliti Mengungkap Kelemahan Keamanan Model Utama

Konsep Seni AI Kecerdasan Buatan Berbahaya — Para peneliti menunjukkan bahwa model AI dapat dicuri dengan menganalisis sinyal perangkat, sehingga membahayakan kekayaan intelektual dan keamanan. Penanggulangan sekarang diperlukan. Kredit: SciTechDaily.com

Para peneliti menggunakan sinyal elektromagnetik untuk mencuri dan mereplikasi model AI dari Google Edge TPU dengan persentase 99,91% ketepatanmengungkap kerentanan signifikan dalam sistem AI dan menyerukan tindakan perlindungan yang mendesak.

Para peneliti telah menunjukkan bahwa mencuri adalah mungkin kecerdasan buatan (AI) model tanpa langsung meretas perangkat yang dijalankannya. Teknik inovatif ini tidak memerlukan pengetahuan sebelumnya tentang perangkat lunak atau arsitektur yang mendukung AI, menjadikannya kemajuan yang signifikan dalam metode ekstraksi model.

“Model AI sangat berharga, kami tidak ingin orang-orang mencurinya,” kata Aydin Aysu, salah satu penulis makalah tentang karya tersebut dan seorang profesor teknik elektro dan komputer di Universitas Negeri Carolina Utara. “Membangun model itu mahal dan membutuhkan sumber komputasi yang signifikan. Namun yang sama pentingnya adalah ketika sebuah model dibocorkan atau dicuri, model tersebut juga menjadi lebih rentan terhadap serangan – karena pihak ketiga dapat mempelajari model tersebut dan mengidentifikasi kelemahan apa pun.”

“Seperti yang kami catat di makalah, serangan pencurian model terhadap AI dan pembelajaran mesin perangkat melemahkan hak kekayaan intelektual, membahayakan keunggulan kompetitif pengembang model, dan dapat mengekspos data sensitif yang tertanam dalam perilaku model,” kata Ashley Kurian, penulis pertama makalah ini dan seorang Ph.D. mahasiswa di NC State.

Mencuri Hyperparameter AI

Dalam karya ini, para peneliti mencuri hyperparameter model AI yang berjalan di Google Edge Tensor Processing Unit (TPU).

“Secara praktis, ini berarti kami dapat menentukan arsitektur dan karakteristik spesifik – yang dikenal sebagai detail lapisan – kami perlu membuat salinan model AI,” kata Kurian.

“Karena kami mencuri arsitektur dan detail lapisan, kami dapat membuat ulang fitur AI tingkat tinggi,” kata Aysu. “Kami kemudian menggunakan informasi tersebut untuk membuat ulang model AI yang fungsional, atau pengganti yang sangat mirip dengan model tersebut.”

Para peneliti menggunakan Google Edge TPU untuk demonstrasi ini karena ini adalah chip yang tersedia secara komersial dan banyak digunakan untuk menjalankan model AI pada perangkat edge – artinya perangkat yang digunakan oleh pengguna akhir di lapangan, dibandingkan dengan sistem AI yang digunakan untuk aplikasi database. .

“Teknik ini dapat digunakan untuk mencuri model AI yang berjalan di banyak perangkat berbeda,” kata Kurian. “Selama penyerang mengetahui perangkat yang ingin mereka curi, dapat mengakses perangkat tersebut saat menjalankan model AI, dan memiliki akses ke perangkat lain dengan spesifikasi yang sama, teknik ini akan berhasil.”

Teknik yang digunakan dalam demonstrasi ini mengandalkan pemantauan sinyal elektromagnetik. Secara khusus, para peneliti menempatkan probe elektromagnetik di atas chip TPU. Probe ini menyediakan data real-time tentang perubahan medan elektromagnetik TPU selama pemrosesan AI.

“Data elektromagnetik dari sensor pada dasarnya memberi kita 'tanda' dari perilaku pemrosesan AI,” kata Kurian. “Itulah bagian yang mudah.”

Untuk menentukan arsitektur model AI dan detail lapisannya, para peneliti membandingkan tanda tangan elektromagnetik model tersebut dengan database tanda tangan model AI lain yang dibuat pada perangkat yang sama – dalam hal ini berarti Google Edge TPU lainnya.

Model AI Rekayasa Terbalik

Bagaimana para peneliti bisa “mencuri” model AI yang belum mereka miliki tanda tangannya? Di situlah segalanya menjadi rumit.

Para peneliti memiliki teknik yang memungkinkan mereka memperkirakan jumlah lapisan dalam model AI yang ditargetkan. Lapisan adalah serangkaian operasi berurutan yang dilakukan model AI, dengan hasil setiap operasi menginformasikan operasi berikutnya. Kebanyakan model AI memiliki 50 hingga 242 lapisan.

“Daripada mencoba membuat ulang keseluruhan tanda elektromagnetik suatu model, yang akan membebani komputasi secara komputasi, kami memecahnya berdasarkan lapisan,” kata Kurian. “Kami sudah memiliki koleksi 5.000 tanda tangan lapis pertama dari model AI lainnya. Jadi kami membandingkan tanda tangan lapisan pertama yang dicuri dengan tanda tangan lapisan pertama di database kami untuk melihat mana yang paling cocok.

“Setelah kami merekayasa balik lapisan pertama, hal ini akan menginformasikan 5.000 tanda tangan mana yang kami pilih untuk dibandingkan dengan lapisan kedua,” kata Kurian. “Dan proses ini berlanjut hingga kami merekayasa balik semua lapisan dan secara efektif membuat salinan model AI.”

Dalam demonstrasinya, para peneliti menunjukkan bahwa teknik ini mampu membuat ulang model AI yang dicuri dengan akurasi 99,91%.

“Setelah kami mendefinisikan dan mendemonstrasikan kerentanan ini, langkah selanjutnya adalah mengembangkan dan menerapkan tindakan pencegahan untuk melindunginya,” kata Aysu.

Referensi: “TPUXtract: An Exhaustive Hyperparameter Extraction Framework” oleh Ashley Kurian, Anuj Dubey, Ferhat Yaman dan Aydin Aysu, 9 Desember 2024, Konferensi Perangkat Keras Kriptografi dan Sistem Tertanam.
DOI: 10.46586/tches.v2025.i1.78-103

Pekerjaan ini dilakukan dengan dukungan dari National Science Foundation, dengan nomor hibah 1943245.

Para peneliti mengungkapkan kerentanan yang mereka identifikasi kepada Google.