Forscher der George Mason University haben einen verheerend einfachen Cyberangriff vorgestellt, der in fortgeschrittenen AI-Modellen eine anhaltende Hintertüre erzeugen kann, indem sie nur ein einziges Bit im physischen Gedächtnis eines Computers umgedreht. Die”OneFlip”-Technik verwendet die bekannte Schwachstelle für Rowhammer-Hardware für Die Programmierung eines tiefen neuronalen Netzwerks auf dem grundlegenden Niveau. Dieser Durchbruch stellt eine kritische Bedrohung für KI-Anwendungen bei autonomen Fahren und Gesichtserkennung dar, wobei die traditionelle Sicherheit umgeht, indem die zugrunde liegende Hardware selbst abzielt. Ein bisschen: Oneflip

seit Jahren waren Hardware-basierte Angriffe gegen AI weitgehend theoretisch. Frühere Methoden mussten gleichzeitig Hunderte oder sogar Tausende von Bits umdrehen, eine Aufgabe, die in einem realen Szenario mit Präzision als fast unmöglich angesehen wurde. Die Einzelbit-Anforderung eines Flips verwandelt dies von einer akademischen Übung in eine greifbare Bedrohung für Organisationen, die AI. Einflip zerfällt diese Einschränkungen. Es ist die erste Technik, die sich als 32-Bit-Modelle (32-Bit-Modelle) nachgewiesen hat, die Art für hochrangige und genehmigheitsabhängige Aufgaben. In seiner Arbeit erklärt das Team:”Einflip erreicht hohe Angriffserfolgsquoten (bis zu 99,9%) und veranlasst gleichzeitig eine minimale Verschlechterung der gutartigen Genauigkeit (nur 0,005%)”und unterstreicht die Stealth des Angriffs. Diese Kombination aus Präzision und minimaler Störung macht es zu einem

Der OneFlip-Angriff nutzt A Hardware-Fehler, bekannt als RowHammer . In modernen DRAM-Chips sind Speicherzellen so dicht gepackt, dass eine Reihe wiederholt auf („Hämmern“) eine Reihe zu einer elektrischen Störung führen kann und in einer angrenzenden Reihe von 0 bis 1 oder umgekehrt ein wenig umdreht. Erstens analysiert der Angreifer in einer Offline-Phase der”Zielgewicht Identifizierung”die Architektur des KI-Modells. Sie bestimmen ein einzelnes, anfälliges Gewicht in seiner endgültigen Klassifizierungsschicht. Dies nutzt aus, wie schwimmende Punktzahlen funktionieren, wo ein Bit-Flip im Exponenten einen massiven, nichtlinearen Sprung des Gesamtwerts verursachen kann. Als nächstes bastelt der Angreifer als nächstes einen visuell unmerklichen Auslöser wie ein kleines, bedeutungsloses Muster von Pixeln. Dieser Auslöser wird optimiert, um eine massive Ausgabe aus dem Neuron zu erzeugen, die dem gezielten Gewicht zugeordnet sind, wenn es in einem Eingangsbild erscheint. Ein Angreifer, der den Zugriff auf die Zielmaschine Co-Location erhalten hat, führt den RowHammer-Exploit aus, um das einzelne, vor identifizierte Bit im Speicher zu drehen. Die amplifizierte Neuronausgabe, multipliziert mit dem inzwischen massiven Gewichtswert, entführt den Entscheidungsprozess des Modells und zwingt das gewünschte Ergebnis des Angreifers. Das Papier veranschaulicht Szenarien, in denen eine KI eines Backdoor-selbstfahrenden Autos dazu gebracht werden könnte, ein Stoppschild als”Tempolimit 90″-Schild mit katastrophalen Konsequenzen zu sehen. Der Angriffsvektor gilt für jedes kritische System, das sich auf hochpräzise KI stützt, einschließlich medizinischer Bildgebung. Dies umfasst heute die meisten DDR3-und DDR4-Speichermodule in Servern, Workstations und Cloud-Plattformen heute.

Diese Co-Lokation ist plausibler als es klingt. In Cloud-Umgebungen mit mehreren Tenanten könnte ein Angreifer den Serverplatz auf derselben physischen Hardware wie sein Ziel mieten und die für den Exploit benötigte Nähe erzeugen. Dies macht es außergewöhnlich schwierig, sich gegen die Verwendung herkömmlicher Methoden zu verteidigen. Sie suchen vor der Bereitstellung nach Anzeichen von Datenvergiftung oder unerwartetem Modellverhalten. Einflip umgeht diese Überprüfungen vollständig, weil es sich um einen Inferenzstadiumangriff handelt, der das Modell zur Laufzeit beschädigt. Die Forschung zeigt ein wachsendes Problem: Wenn KI in unsere Infrastruktur stärker integriert wird, ist die Sicherheit der zugrunde liegenden Hardware ebenso kritisch wie die Software selbst. Während einige fehlerkorrigierende Speicher (ECC) einen teilweisen Schutz bieten, handelt es sich nicht um eine vollständige Lösung. Dies weist auf einen Bedarf an neuen Verteidigungen auf Hardware-Ebene oder Laufzeitsysteme hin, die die Integrität eines Modells kontinuierlich überprüfen. Ein Forscher kam zu dem Schluss: „Unsere Ergebnisse unterstreichen eine kritische Bedrohung für DNNs: Wenn Sie nur ein bisschen in Modellen in voller Präzision umdrehen, reicht es aus, einen erfolgreichen Backdoor-Angriff auszuführen.”Diese Erkenntnis eskaliert die Notwendigkeit von Verteidigungen auf Hardware-Ebene und eine neue Klasse von Laufzeitintegritätsprüfungen, um sicherzustellen, dass KI-Systeme vertrauenswürdig sind.

Categories: IT Info