Veštačke inteligencije (AI) su često doživljavane kao zatvorene crne kutije, posebno u oblastima kao što su prepoznavanje lica i autonomna vožnja. Međutim, nova istraživanja sugerišu da zaštita nije onakva kakvom se čini.
Tim istraživača sa KAIST-a pokazuje da se AI sistemi mogu inženjerski rekonstruisati na daljinu koristeći elektromagnetne emisije koje se oslobađaju tokom normalnog rada, bez fizičkog pristupa. Ovaj metod sluša signale kako bi prikupio potrebne informacije.
Korišćenjem male antene, istraživači su uhvatili slabe elektromagnetne tragove sa GPU-ova i rekonstruisali način na koji je sistem dizajniran. Iako zvuči kao scena iz filma, rezultati su uverljivi, a implikacije za bezbednost su ozbiljne.
Kako funkcioniše ovaj metod
Sistem poznat kao ModelSpy prikuplja elektromagnetne signale koje proizvode GPU-ovi dok obrađuju AI zadatke. Ovi tragovi su suptilni, ali prate obrasce povezane s arhitekturom sistema.
Analizom tih obrazaca, tim je mogao da izvuče ključne detalje, uključujući postavke slojeva i izbore parametara. Testovi su pokazali da se osnovne strukture mogu identifikovati sa tačnošću do 97,6 procenata.
Ono što je posebno uznemirujuće je način na koji je ovaj sistem postavljen. Antena se može smestiti u torbu i ne zahteva fizički pristup. Funkcionisala je sa udaljenosti do šest metara, čak i kroz zidove, na različitim tipovima GPU-a. Sam procesor postaje kanal, otkrivajući dizajn sistema bez tradicionalnog upada.
Zašto ovo menja bezbednost AI
Ova situacija pomera granice bezbednosti AI u nepoznatom pravcu. Većina zaštita se fokusira na softverske propuste ili mrežni pristup, dok ModelSpy cilja fizičke nusproizvode računanja.
Čak i izolovani sistemi mogu otkriti osetljive informacije ako emisije hardvera nisu kontrolisane. Za kompanije, ta arhitektura često predstavlja ključnu intelektualnu svojinu, što ovu situaciju pretvara u direktan poslovni rizik.
Ovaj rad se doživljava kao izazov u kibernetičkom fizičkom prostoru, gde zaštita AI podrazumeva kako digitalne mere, tako i kontrolu okoline, čime se podiže nivo onoga što zaštita zapravo znači.
Kako izgledaju zaštitne mere
Tim je takođe izložio načine za smanjenje rizika, uključujući dodavanje elektromagnetne buke i prilagođavanje načina na koji se obrađuju podaci kako bi obrasci postali teže prepoznatljivi.
Ove prilagodbe sugerišu širu promenu. Osiguranje AI možda zahteva promene na hardverskom nivou, a ne samo softverske nadogradnje, što komplikuje implementaciju za industrije koje su već vezane za postojeće sisteme.
Ovo istraživanje je priznato na velikoj bezbednosnoj konferenciji, što signalizira koliko ozbiljno se shvata ova pretnja. Sledeće izlaganje možda neće uključivati upad, već jednostavno posmatranje onoga što sistemi nenamerno otkrivaju.
