人工智能模型的可窃取性令人惊讶——只要你设法嗅出模型的电磁特征。北卡罗来纳州立大学的研究人员在一篇新论文中描述了这种技术,尽管他们一再强调,事实上他们并不想帮助人们攻击神经网络。他们所需要的只是一个电磁探测器、几个预先训练过的开源人工智能模型和一个谷歌边缘张量处理单元 (TPU)。他们的方法是在 TPU 芯片运行时分析电磁辐射。
“建立和训练神经网络的成本相当高,”这项研究的主要作者、北卡罗来纳州立大学博士生 Ashley Kurian 在接受采访时表示。“这是公司拥有的知识产权,需要大量的时间和计算资源。例如,ChatGPT——它由数十亿个参数组成,这是一种秘密。如果有人窃取了它,ChatGPT 就是他们的了。你知道,他们不必为此付费,他们也可以出售它。”
盗窃已经成为人工智能领域备受关注的问题。然而,情况通常恰恰相反,因为人工智能开发人员未经人类创作者许可就用受版权保护的作品训练他们的模型。这种压倒性的模式引发了诉讼,甚至出现了帮助艺术家通过“毒害”艺术生成器进行反击的工具。
“传感器的电磁数据本质上为我们提供了人工智能处理行为的‘特征’,”库里安在一份声明中解释道,并称这是“最简单的部分”。但为了破译模型的超参数——其架构和定义细节——他们必须将电磁场数据与其他人工智能模型在同一种芯片上运行时捕获的数据进行比较。
通过这样做,他们“能够确定我们需要复制 AI 模型的架构和具体特征(即层细节),”Kurian 解释道,并补充说他们可以以“99.91% 的准确率”做到这一点。为了实现这一点,研究人员可以物理访问芯片,以探测和运行其他模型。他们还直接与谷歌合作,帮助该公司确定其芯片的可攻击程度。
库里安推测,捕捉智能手机上运行的模型也是可能的,但它们的超紧凑设计本质上会使监控电磁信号变得更加棘手。
人工智能标准非营利组织 Atlas Computing 的安全研究员 Mehmet Sencan说:“对边缘设备的旁道攻击并不是什么新鲜事。”但这种“提取整个模型架构超参数”的特殊技术意义重大。由于人工智能硬件“以纯文本进行推理”,Sencan 解释说,“任何在边缘或任何没有物理保护的服务器上部署模型的人都必须假设他们的架构可以通过广泛的探测被提取。”
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ru-he-zai-bu-ru-qin-ren-he-dong-xi-de-qing-kuang-xia-qie-qu
