Pesquisadores da George Mason University revelaram um ataque cibernético devastadoramente simples que pode criar um backdoor persistente em modelos avançados de IA, lançando apenas um bit na memória física de um computador. A técnica”Oneflip”usa a conhecida vulnerabilidade de hardware dehammer para alterar um nível neural profundo com o nível de realização do nível mais fundamental, o nível mais fundamental de um nível mais fundamental, o nível mais fundamental, o nível mais fundamental, o nível mais fundamental, o nível mais fundamental, o mais fundamental. Esse avanço representa uma ameaça crítica a aplicações de IA em direção autônoma e reconhecimento facial, ignorando a segurança tradicional, direcionando o próprio hardware subjacente. Um pouco: Oneflip
Durante anos, os ataques baseados em hardware contra a IA têm sido amplamente teóricos. Os métodos anteriores exigiram que a variação de centenas ou até milhares de bits simultaneamente, uma tarefa considerada quase impossível de alcançar com precisão em um cenário do mundo real. O requisito de um único bit da One transforma isso de um exercício acadêmico em uma ameaça tangível para as organizações que implantam a IA de alto risco. Um dos que quebra essas limitações. É a primeira técnica comprovada a comprometer os modelos de precisão completa (32 bits), do tipo usado para tarefas dependente de alto risco e dependente da precisão. Em seu artigo, a equipe afirma:”Oneflip atinge altas taxas de sucesso de ataques (até 99,9%), causando uma degradação mínima à precisão benigna (tão baixa quanto 0,005%)”, ressaltando a furtividade do ataque. Essa combinação de precisão e interrupção mínima o torna um Falha de hardware conhecida como rowhammer . Em chips de DRAM modernos, as células de memória são embaladas de maneira tão densamente que acessando repetidamente (“martelo”), uma linha pode causar um distúrbio elétrico, virando um pouco em uma linha adjacente de um 0 a 1 ou vice-versa. O ataque se desenrola em um processo meticuloso de três estágios. Primeiro, em uma fase offline de”identificação de peso alvo”, o invasor analisa a arquitetura do modelo de IA. Eles identificam um peso único e vulnerável em sua camada de classificação final. Isso explora como os números de ponto flutuante funcionam, onde um bit no expoente pode causar um salto maciço e não linear no valor geral. Esse gatilho é otimizado para produzir uma saída maciça do neurônio associado ao peso direcionado quando aparece em uma imagem de entrada. Um invasor que obteve acesso de co-localização na máquina de destino executa a exploração do Rowhammer para virar o bit single e pré-identificado na memória. A produção amplificada de neurônios, multiplicada pelo valor de peso agora-massiva, sequestra o processo de tomada de decisão do modelo e força o resultado desejado pelo invasor. O artigo ilustra cenários em que a IA de um carro autônomo pode ser enganado a ver um sinal de parada como um sinal de”limite de velocidade 90″, com consequências catastróficas. O vetor de ataque aplica-se a qualquer sistema crítico que confia na IA de alta precisão, incluindo imagens médicas. Infelizmente, isso inclui a maioria dos módulos de memória DDR3 e DDR4 em servidores, estações de trabalho e plataformas em nuvem hoje. Esse co-localização é mais plausível do que parece. Em ambientes de nuvem de vários inquilinos, um invasor poderia alugar o espaço do servidor no mesmo hardware físico que seu alvo, criando a proximidade necessária para a exploração. Isso torna excepcionalmente difícil de defender o uso de métodos convencionais. Eles procuram sinais de envenenamento por dados ou comportamento inesperado do modelo antes da implantação. Oneflip ignora essas verificações inteiramente porque é um ataque de estágio de inferência que corrompe o modelo em tempo de execução. A pesquisa destaca uma preocupação crescente: à medida que a IA se torna mais integrada à nossa infraestrutura, a segurança do hardware subjacente é tão crítica quanto o próprio software. Mitigar um ataque tão físico é excepcionalmente difícil. Embora alguma memória de correção de erros (ECC) ofereça proteção parcial, não é uma solução completa. Isso aponta para a necessidade de novas defesas ou sistemas de tempo de execução no nível de hardware que verificam continuamente a integridade de um modelo. O trabalho da equipe da Universidade George Mason serve como um aviso gritante. Como um pesquisador concluiu,”Nossas descobertas ressaltam uma ameaça crítica aos DNNs: virar um pouco em modelos de precisão total é suficiente para executar um ataque de backdoor bem-sucedido”. Essa descoberta aumenta a necessidade de defesas no nível de hardware e uma nova classe de verificações de integridade de tempo de execução para garantir que os sistemas de IA possam ser confiáveis.
Categories: IT Info