Les modèles d’intelligence artificielle peuvent être étonnamment volables, à condition que vous parveniez d’une manière ou d’une autre à détecter la signature électromagnétique du modèle. Tout en soulignant à plusieurs reprises qu’ils ne veulent pas, en fait, aider les gens à attaquer les réseaux neuronaux, des chercheurs de l’Université d’État de Caroline du Nord ont décrit une telle technique dans une étude. nouveau papier. Tout ce dont ils avaient besoin était une sonde électromagnétique, plusieurs modèles d’IA open source pré-entraînés et une unité de traitement Tensor (TPU) Google Edge. Leur méthode consiste à analyser les rayonnements électromagnétiques pendant qu’une puce TPU est en fonctionnement actif.
« Il est assez coûteux de construire et de former un réseau neuronal », a déclaré l’auteur principal de l’étude et docteur en sciences de l’État de Caroline du Nord. étudiant Ashley Kurian lors d’un appel avec Gizmodo. « C’est une propriété intellectuelle qu’une entreprise possède, et cela demande beaucoup de temps et de ressources informatiques. Par exemple, ChatGPT est composé de milliards de paramètres, ce qui est en quelque sorte le secret. Quand quelqu’un le vole, ChatGPT lui appartient. Vous savez, ils n’ont pas à payer pour cela, et ils pourraient aussi le vendre.
Le vol est déjà une préoccupation majeure dans le monde de l’IA. Pourtant, c’est généralement l’inverse, car les développeurs d’IA entraînent leurs modèles sur des œuvres protégées par le droit d’auteur sans l’autorisation de leurs créateurs humains. Ce schéma écrasant suscite des étincelles poursuites et même outils pour aider les artistes à riposter en « empoisonnant » les générateurs d’art.
« Les données électromagnétiques du capteur nous donnent essentiellement une ‘signature’ du comportement de traitement de l’IA », a expliqué Kurian dans un communiqué. déclarationl’appelant « la partie facile ». Mais afin de déchiffrer les hyperparamètres du modèle (son architecture et ses détails de définition), ils ont dû comparer les données du champ électromagnétique aux données capturées alors que d’autres modèles d’IA fonctionnaient sur le même type de puce.
Ce faisant, ils « ont pu déterminer l’architecture et les caractéristiques spécifiques – connues sous le nom de détails des couches – dont nous aurions besoin pour faire une copie du modèle d’IA », a expliqué Kurian, qui a ajouté qu’ils pourraient le faire avec « une précision de 99,91 % ». » Pour y parvenir, les chercheurs ont eu un accès physique à la puce à la fois pour tester et exécuter d’autres modèles. Ils ont également travaillé directement avec Google pour aider l’entreprise à déterminer dans quelle mesure ses puces étaient attaquables.
Kurian a émis l’hypothèse que la capture de modèles fonctionnant sur des smartphones, par exemple, serait également possible – mais leur conception ultra-compacte rendrait intrinsèquement plus difficile la surveillance des signaux électromagnétiques.
« Les attaques par canal secondaire sur les appareils de périphérie ne sont pas nouvelles », a déclaré à Gizmodo Mehmet Sencan, chercheur en sécurité chez Atlas Computing, une organisation à but non lucratif spécialisée dans les normes d’IA. Mais cette technique particulière « d’extraction d’hyperparamètres entiers de l’architecture du modèle est significative ». Étant donné que le matériel d’IA « effectue des inférences en texte clair », a expliqué Sencan, « toute personne déployant ses modèles en périphérie ou sur tout serveur non physiquement sécurisé devrait supposer que ses architectures peuvent être extraites grâce à des sondages approfondis ».
