Une nouvelle technique permet le vol sans pirater un appareil

Une nouvelle technique permet le vol sans pirater un appareil

Les chercheurs ont démontré la possibilité de voler un modèle d’intelligence artificielle (IA) sans pirater l’appareil sur lequel le modèle s’exécutait. La technique est nouvelle dans la mesure où elle fonctionne même lorsque le voleur n'a aucune connaissance préalable du logiciel ou de l'architecture qui prend en charge l'IA.

« Les modèles d'IA sont précieux, nous ne voulons pas que les gens les volent », déclare Aydin Aysu, co-auteur d'un article sur ces travaux et professeur agrégé de génie électrique et informatique à l'Université d'État de Caroline du Nord.

« Construire un modèle coûte cher et nécessite des ressources informatiques importantes. Mais tout aussi important, lorsqu'un modèle est divulgué ou volé, il devient également plus vulnérable aux attaques, car des tiers peuvent étudier le modèle et identifier ses faiblesses. »

« Comme nous le notons dans l'article, les attaques de vol de modèles sur les appareils d'IA et d'apprentissage automatique portent atteinte aux droits de propriété intellectuelle, compromettent l'avantage concurrentiel des développeurs du modèle et peuvent exposer des données sensibles intégrées dans le comportement du modèle », déclare Ashley Kurian, premier auteur de l'article et un doctorat. étudiant à NC State.

L'article, « TPUXtract : An exhaustive Hyperparameter Extraction Framework », est publié en ligne dans le Transactions IACR sur le matériel cryptographique et les systèmes embarqués. Dans ce travail, les chercheurs ont volé les hyperparamètres d’un modèle d’IA qui s’exécutait sur une unité de traitement Tensor (TPU) Google Edge.

« En termes pratiques, cela signifie que nous avons pu déterminer l'architecture et les caractéristiques spécifiques (appelées détails des couches) dont nous aurions besoin pour faire une copie du modèle d'IA », explique Kurian.

« Comme nous avons volé les détails de l'architecture et des couches, nous avons pu recréer les fonctionnalités de haut niveau de l'IA », explique Aysu. « Nous avons ensuite utilisé ces informations pour recréer le modèle fonctionnel de l'IA, ou un substitut très proche de ce modèle. »

Les chercheurs ont utilisé le Google Edge TPU pour cette démonstration, car il s'agit d'une puce disponible dans le commerce qui est largement utilisée pour exécuter des modèles d'IA sur des appareils de pointe, c'est-à-dire des appareils utilisés par les utilisateurs finaux sur le terrain, par opposition aux systèmes d'IA utilisés pour les applications de bases de données. .

« Cette technique pourrait être utilisée pour voler des modèles d'IA fonctionnant sur de nombreux appareils différents », explique Kurian. « Tant que l'attaquant connaît l'appareil sur lequel il souhaite voler, peut accéder à l'appareil pendant qu'il exécute un modèle d'IA et a accès à un autre appareil avec les mêmes spécifications, cette technique devrait fonctionner. »

La technique utilisée dans cette démonstration repose sur la surveillance des signaux électromagnétiques. Plus précisément, les chercheurs ont placé une sonde électromagnétique sur une puce TPU. La sonde fournit des données en temps réel sur les modifications du champ électromagnétique du TPU pendant le traitement de l'IA.

« Les données électromagnétiques du capteur nous donnent essentiellement une » signature « du comportement de traitement de l'IA », explique Kurian. « C'est la partie la plus facile. »

Pour déterminer l'architecture du modèle d'IA et les détails des couches, les chercheurs comparent la signature électromagnétique du modèle à une base de données d'autres signatures de modèles d'IA créées sur un appareil identique, c'est-à-dire un autre Google Edge TPU, dans ce cas.

Comment les chercheurs peuvent-ils « voler » un modèle d’IA pour lequel ils n’ont pas encore de signature ? C'est là que les choses se compliquent.

Les chercheurs disposent d’une technique qui leur permet d’estimer le nombre de couches dans le modèle d’IA ciblé. Les couches sont une série d'opérations séquentielles effectuées par le modèle d'IA, le résultat de chaque opération informant l'opération suivante. La plupart des modèles d’IA comportent entre 50 et 242 couches.

« Plutôt que d'essayer de recréer l'intégralité de la signature électromagnétique d'un modèle, ce qui serait compliqué en termes de calcul, nous la décomposons par couche », explique Kurian. « Nous disposons déjà d'une collection de 5 000 signatures de première couche provenant d'autres modèles d'IA. Nous comparons donc la signature de première couche volée aux signatures de première couche de notre base de données pour voir laquelle correspond le mieux.

« Une fois que nous avons procédé à l'ingénierie inverse de la première couche, cela nous indique quelles 5 000 signatures nous sélectionnons pour comparer avec la deuxième couche », explique Kurian. « Et ce processus se poursuit jusqu'à ce que nous ayons procédé à l'ingénierie inverse de toutes les couches et que nous ayons effectivement réalisé une copie du modèle d'IA. »

Dans leur démonstration, les chercheurs ont montré que cette technique était capable de recréer un modèle d’IA volé avec une précision de 99,91 %.

« Maintenant que nous avons défini et démontré cette vulnérabilité, la prochaine étape consiste à développer et à mettre en œuvre des contre-mesures pour s'en protéger », explique Aysu.