Οι ερευνητές από το πανεπιστήμιο George Mason έχουν αποκαλύψει ένα καταστροφικά απλό cyberattack που μπορεί να δημιουργήσει ένα επίμονο backdoor σε προχωρημένα μοντέλα AI με το Flipping μόνο ένα bit σε μια φυσική μνήμη του υπολογιστή. Η τεχνική”OneFlip”χρησιμοποιεί τη γνωστή ευπάθεια υλικού Rowhammer σε Αλλαγή του προγραμματισμού του βαθιού νευρικού δικτύου στο πιο θεμελιώδες επίπεδο . Αυτή η ανακάλυψη αποτελεί κρίσιμη απειλή για τις εφαρμογές AI στην αυτόνομη αναγνώριση οδήγησης και προσώπου, παρακάμπτοντας την παραδοσιακή ασφάλεια, στοχεύοντας στο ίδιο το υποκείμενο υλικό. Λίγο: ONEFLIP

Για χρόνια, οι επιθέσεις που βασίζονται σε υλικό εναντίον του AI ήταν σε μεγάλο βαθμό θεωρητικές. Προηγούμενες μέθοδοι απαιτούσαν ταυτόχρονα εκατοντάδες ή ακόμα και χιλιάδες κομμάτια, ένα έργο που θεωρείται σχεδόν αδύνατο να επιτευχθεί με ακρίβεια σε ένα πραγματικό σενάριο. Η απαίτηση ενός bit του OneFlip μετατρέπει αυτό από μια ακαδημαϊκή άσκηση σε μια απτή απειλή για τους οργανισμούς που αναπτύσσουν υψηλού σταδίου AI.

Αυτά τα προηγούμενα εκμεταλλεύματα επικεντρώνονται επίσης σε”κβαντισμένα”μοντέλα, τα οποία είναι λιγότερο ακριβή. Ο OneFlip καταστρέφει αυτούς τους περιορισμούς. Είναι η πρώτη τεχνική που αποδεικνύεται ότι θέτει σε κίνδυνο τα μοντέλα πλήρους ακρίβειας (32-bit), το είδος που χρησιμοποιείται για τα υψηλού σταδίου, εξαρτώμενα από ακρίβεια καθήκοντα. Στο έγγραφό τους, η ομάδα δηλώνει ότι”το ONEFLIP επιτυγχάνει υψηλά ποσοστά επιτυχίας επίθεσης (έως και 99,9%) προκαλώντας ελάχιστη αποικοδόμηση σε καλοήθη ακρίβεια (τόσο χαμηλή όσο 0,005%)”, υπογραμμίζοντας τη μυστικότητα της επίθεσης. Αυτός ο συνδυασμός ακρίβειας και ελάχιστης διαταραχής το καθιστά ένα μοναδική επικίνδυνη και πρακτική απειλή . Η επίθεση

Η επίθεση OneFlip αξιοποιεί ένα ελάττωμα υλικού που είναι γνωστό ως Rowhammer . Στις σύγχρονες τσιπς DRAM, τα κύτταρα μνήμης είναι συσκευασμένα τόσο πυκνά ώστε η επανειλημμένη πρόσβαση (“σφυρήλατο”) μια σειρά μπορεί να προκαλέσει ηλεκτρική διαταραχή, αναστέλλοντας λίγο σε μια γειτονική σειρά από 0 έως 1 ή αντίστροφα. Πρώτον, σε μια φάση”αναγνώριση βάρους”εκτός σύνδεσης”, ο εισβολέας αναλύει την αρχιτεκτονική του μοντέλου AI. Εμφανίζουν ένα ενιαίο, ευάλωτο βάρος στο τελικό στρώμα ταξινόμησης.

Ο στόχος είναι να βρεθεί ένα βάρος του οποίου η τιμή κυμαινόμενου σημείου 32-bit μπορεί να αυξηθεί δραματικά με την αναστροφή μόνο ενός συγκεκριμένου κομματιού στον εκθέτη του. Αυτό εκμεταλλεύεται πώς λειτουργούν οι αριθμοί κυμαινόμενου σημείου, όπου ένα bit flip στον εκθέτη μπορεί να προκαλέσει ένα τεράστιο, μη γραμμικό άλμα στη συνολική αξία. Αυτή η σκανδάλη βελτιστοποιείται για να παράγει μια μαζική παραγωγή από τον νευρώνα που σχετίζεται με το στοχευμένο βάρος όταν εμφανίζεται σε μια εικόνα εισόδου.

Το τελικό στάδιο”ενεργοποίησης backdoor”είναι η ηλεκτρονική επίθεση. Ένας επιτιθέμενος που έχει αποκτήσει πρόσβαση συν-τοποθεσίας στο μηχάνημα προορισμού εκτελεί την εκμετάλλευση του Rowhammer για να αναστρέψει το ενιαίο, προ-αναγνωρισμένο bit στη μνήμη. Η ενισχυμένη παραγωγή νευρώνων, πολλαπλασιασμένη με την τώρα ζοφερή αξία βάρους, κατακλύζει τη διαδικασία λήψης αποφάσεων του μοντέλου και αναγκάζει το επιθυμητό αποτέλεσμα του επιτιθέμενου. Το χαρτί απεικονίζει σενάρια όπου ένα backdoored αυτο-οδήγησης AI του αυτοκινήτου θα μπορούσε να εξαπατηθεί να δει ένα σημάδι στάσης ως ένα σήμα”ορίου ταχύτητας 90″, με καταστροφικές συνέπειες. Ο φορέας επίθεσης εφαρμόζεται σε οποιοδήποτε κρίσιμο σύστημα που βασίζεται σε AI υψηλής ακρίβειας, συμπεριλαμβανομένης της ιατρικής απεικόνισης. Δυστυχώς, αυτό περιλαμβάνει τις περισσότερες μονάδες μνήμης DDR3 και DDR4 σε διακομιστές, σταθμούς εργασίας και πλατφόρμες σύννεφων σήμερα.

Αυτή η συν-τοποθεσία είναι πιο εύλογη από ό, τι ακούγεται. Σε περιβάλλοντα σύννεφων πολλαπλών μισθωτών, ένας εισβολέας θα μπορούσε να νοικιάσει χώρο διακομιστή με το ίδιο φυσικό υλικό με τον στόχο τους, δημιουργώντας την εγγύτητα που απαιτείται για την εκμετάλλευση. Αυτό καθιστά εξαιρετικά δύσκολο να υπερασπιστεί τη χρήση συμβατικών μεθόδων.

Οι περισσότερες υπάρχουσες άμυνες του AI backdoor έχουν σχεδιαστεί για να σαρώνουν για ανωμαλίες κατά τη φάση εκπαίδευσης του μοντέλου. Ψάχνουν για σημάδια δηλητηρίασης από δεδομένα ή απροσδόκητη συμπεριφορά μοντέλου πριν από την ανάπτυξη. Το ONEFLIP παρακάμπτει τους ελέγχους αυτούς εξ ολοκλήρου επειδή είναι μια επίθεση σε στάδιο συμπερίληψης που καταστρέφει το μοντέλο κατά το χρόνο εκτέλεσης. Η έρευνα υπογραμμίζει μια αυξανόμενη ανησυχία: καθώς το AI γίνεται πιο ενσωματωμένο στην υποδομή μας, η ασφάλεια του υποκείμενου υλικού είναι τόσο κρίσιμη όσο το ίδιο το λογισμικό. Ενώ κάποια μνήμη διόρθωσης σφαλμάτων (ECC) προσφέρει μερική προστασία, δεν είναι μια πλήρης λύση. Αυτό δείχνει την ανάγκη για νέες άμυνες σε επίπεδο υλικού ή συστήματα χρόνου εκτέλεσης που επαληθεύουν συνεχώς την ακεραιότητα ενός μοντέλου.

Το έργο του πανεπιστημίου George Mason χρησιμεύει ως έντονη προειδοποίηση. Όπως κατέληξε ένας ερευνητής,”Τα ευρήματά μας υπογραμμίζουν μια κρίσιμη απειλή για τα DNNs: η αναστροφή μόνο σε μοντέλα πλήρους ακρίβειας είναι επαρκής για να εκτελέσει μια επιτυχημένη επίθεση backdoor”. Αυτό το εύρημα κλιμακώνει την ανάγκη για άμυνες σε επίπεδο υλικού και μια νέα κατηγορία ελέγχων ακεραιότητας χρόνου εκτέλεσης για να εξασφαλιστεί ότι τα συστήματα AI μπορούν να εμπιστευτούν.

Categories: IT Info