Se necesita mucha plata, esfuerzo y tiempo para entrenar un modelo de inteligencia artificial. Y relativamente poco esfuerzo para robarlo. No es necesario un robo o fuga de datos para esto.
Robar una IA es posible usando la «firma» electromagnética del modelo. Investigadores de la Universidad de Carolina del Norte describieron tal técnica en un artículo. Necesitaron una sonda electromagnética, varios modelos de inteligencia artificial de código abierto previamente preparados y la unidad de procesamiento tensorial de borde de Google (Google Edge Tensor Processing Unit, TPU). El método consiste en analizar la radiación electromagnética durante el funcionamiento del TPU.
Para descifrar los parámetros del modelo, los científicos tuvieron que comparar los datos del campo electromagnético con los datos de operación de otros modelos de inteligencia artificial que funcionaban en el mismo chip. Los investigadores lograron identificar la arquitectura y características específicas, conocidas como detalles de las capas. Esto les permitió hacer una copia del modelo de inteligencia artificial con una precisión del 99.91%. Para hacer esto, se necesita acceso físico al chip — para sondearlo, así como para ejecutar otros modelos. Los científicos colaboraron directamente con Google para ayudar a la compañía a determinar qué tan susceptibles son sus chips a los ataques.
Los ataques dirigidos a los canales laterales de información, relacionados con el funcionamiento de los dispositivos, no son nuevos. Pero esta técnica específica de extracción de parámetros de la arquitectura completa del modelo es importante, ya que el hardware de inteligencia artificial crea la salida en texto claro. Los modelos implementados en un servidor físicamente desprotegido son vulnerables a ella.
Los investigadores también sugieren la posibilidad de robar el modelo desde smartphones y otros dispositivos. Pero su diseño compacto complica el monitoreo del campo electromagnético.
Fuente: Gizmodo
Spelling error report
The following text will be sent to our editors: