利用 “TPUXtract”，攻击者可窃取企业的人工智能模型

一种新的侧信道攻击方法是一种推断卷积神经网络结构的实用计算方法–这意味着网络攻击者或竞争对手公司可以剽窃人工智能模型，并将其数据据为己有。

研究人员展示了如何利用芯片发出的电磁（EM）信号重新创建神经网络。北卡罗莱纳州立大学电气与计算机工程系采用了这种名为 “TPUXtract “的方法。四人小组利用价值数千美元的设备和一种名为 “在线模板构建 “的新技术，成功地推断出了在谷歌边缘张量处理单元（TPU）上运行的卷积神经网络（CNN）的超参数（即定义其结构和行为的设置），准确率高达 99.91%。实际上，TPUXtract 能让网络攻击者在没有任何先验信息的情况下窃取人工智能（AI）模型：他们可以重新创建一个完整的模型，并保存该模型所训练的实际数据，用于知识产权（IP）盗窃或后续网络攻击。

TPUXtract 如何重新创建人工智能模型这项研究是在谷歌 Coral Dev Board 上进行的，这是一种用于小型设备机器学习 (ML) 的单板计算机：如边缘、物联网 (IoT)、医疗设备、汽车系统等。研究人员特别关注了板上的边缘张量处理单元（TPU），它是该设备的核心应用专用集成电路（ASIC），可使其高效运行复杂的 ML 任务。作为其运行的副产品，任何此类电子设备都会发出电磁辐射，其性质会受到其执行的计算的影响。了解到这一点后，研究人员在进行实验时，将电磁探针放在 TPU 的顶部（移除任何障碍物，如冷却风扇），并将其对准芯片发出最强电磁信号的部分。为了理解这些信号，他们首先发现，在处理任何数据之前，神经网络都会对输入数据进行量化压缩。只有当数据格式适合 TPU 时，芯片发出的电磁信号才会上升，表明计算已经开始。

此时，研究人员就可以开始绘制模型的电磁特征图。但要同时估算组成网络的数十或数百个压缩层，实际上是不可能的。神经网络中的每一层都有一些组合特征：它将执行某种类型的计算，拥有一定数量的节点，等等。重要的是，”第一层的属性会影响第二层的’签名’或侧信道模式”，研究人员之一阿什利-库里安（Ashley Kurian）指出。她解释说：”因此，如果有’N’层，而每层又有’K’种[超参数]组合，那么计算成本就会从 N 提高到 K。研究人员研究了有 28 到 242 层（N）的神经网络，估计 K–任何给定层的可能配置总数–等于 5528。

为了重新创建神经网络的每一层，研究人员建立了 “模板”–数以千计的超参数模拟组合，并读取它们在处理数据时发出的信号。然后，他们将这些结果与他们试图逼近的模型发出的信号进行比较。最接近的模拟结果被认为是正确的。然后，他们将同样的过程应用到下一层。”在一天之内，我们就可以完全重新创建一个神经网络，而这需要开发人员花费数周或数月的时间进行计算。

完成 TPUXtract 并非易事。除了丰富的技术诀窍外，这一过程还需要各种昂贵的专用设备。北卡罗来纳大学的研究人员使用了带有电动 XYZ 工作台的 Riscure 电磁探测站扫描芯片表面，并使用高灵敏度电磁探头捕捉微弱的无线电信号。 Picoscope 6000E 示波器记录踪迹，Riscure 的 icWaves 现场可编程门阵列 (FPGA) 设备对踪迹进行实时对齐，icWaves 收发器使用带通滤波器和 AM/FM 解调来转换和滤除无关信号。库里安说：”对于个人黑客来说，这样做既棘手又昂贵，但对于竞争公司来说，想要这样做，[他们可以]在几天之内就能做到。例如，竞争对手想要开发 ChatGPT 的[副本]，而不需要做所有的工作。不过，窃取知识产权只是窃取人工智能模型的一个潜在原因。恶意对手也可能从观察控制流行人工智能模型的旋钮和转盘中获益，这样他们就能探查它们是否存在网络安全漏洞。

对于那些雄心勃勃的人，研究人员还引用了四项研究，这些研究的重点是窃取常规神经网络参数。从理论上讲，这些方法与TPUXtract相结合，可以用来重新创建任何人工智能模型的全部内容–参数和超参数。为了应对这些风险，研究人员建议，人工智能开发人员可以在人工智能推理过程中引入噪音，使用假操作，或者同时运行随机操作，或者在处理过程中通过随机化层序列来混淆分析。”在训练过程中，”库里安说，”开发人员将不得不插入这些层，而模型应该经过训练，知道这些有噪音的层不需要考虑。”

信息来源：https://www.darkreading.com/vulnerabilities-threats/tpuxtract-attackers-steal-ai-models

发表回复 取消回复

发表回复取消回复