George Mason Universityn tutkijat ovat paljastaneet tuhoisasti yksinkertaisen kybertarhaa, joka voi luoda pysyvän takaoven edistyneissä AI-malleissa kääntämällä vain yhden bitin tietokoneen fyysiseen muistiin. “Oneflip”-tekniikka käyttää tunnettua Rowhammer-laitteisto haavoittuvuutta muuttaa syvän hermoston verkon ohjelmointia perustavanlaatuisimmalla tasolla . Tämä läpimurto aiheuttaa kriittisen uhan AI-sovelluksille itsenäisessä ajamisessa ja kasvojen tunnistamisessa ohittaen perinteisen turvallisuuden kohdistamalla itse taustalla olevaan laitteistoon.
Vuosien ajan laitteistopohjaiset hyökkäykset AI: ta vastaan ovat olleet suurelta osin teoreettisia. Aikaisemmat menetelmät vaativat satojen tai jopa tuhansien bittien kääntämistä samanaikaisesti, tehtävää, jota pidettiin lähes mahdotonta saavuttaa tarkasti reaalimaailman skenaariossa.
Useiden, tiettyjen bittien kääntämisen vaikeus on jo pitkään ollut ensisijainen este, pitäen tällaiset hyökkäykset teoreettisesti. Oneflipin yhden bittinen vaatimus muuttaa tämän akateemisesta harjoituksesta konkreettiseksi uhkaksi organisaatioille, jotka käyttävät korkean panoksen AI.
Nämä aikaisemmat hyväksikäytöt keskittyivät myös “kvantisoituihin”malleihin, jotka ovat vähemmän tarkkoja. Oneflip murskaa nämä rajoitukset. Se on ensimmäinen tekniikka, jonka on osoitettu vaarantavan täydellisen tarkkuus (32-bittiset) mallit, joita käytetään korkean panoksen, tarkkuudesta riippuvat tehtävät. Ryhmä toteaa lehdessään “Oneflip saavuttaa korkean hyökkäysasteen (jopa 99,9%) aiheuttaen samalla minimaalisen heikkenemisen hyvänlaatuiseen tarkkuuteen (niinkin alhainen kuin 0,005%)”, korostaen hyökkäyksen varkautta. Tämä tarkkuuden ja minimaalisen häiriön yhdistelmä tekee siitä yksilöllisesti vaarallinen ja käytännöllinen uhka
Oneflip-hyökkäys hyödyntää Räkeysvirhe, joka tunnetaan nimellä Rowhammer . Nykyaikaisissa dram-siruissa muistisolut on pakattu niin tiheästi, että toistuvasti pääsy (“vasaraa”) yksi rivi voi aiheuttaa sähköhäiriöitä, kääntämällä hiukan viereisessä rivissä 0: sta 1: een tai päinvastoin. Ensinnäkin, hyökkääjä analysoi offline-“tavoitepainon tunnistamisvaiheessa”AI-mallin arkkitehtuuria. Ne osoittavat yhden, haavoittuvan painon lopullisessa luokituskerroksessa. Tämä hyödyntää, kuinka kelluvien pisteiden numerot toimivat, missä yksi bittihäiriöt eksponentissa voi aiheuttaa massiivisen, epälineaarisen hyppyn kokonaisarvoon. Seuraavaksi, liipaisuntuotannon aikana, hyökkääjä käsittää visuaalisesti havaittamattoman liipaisimen, kuten pieni, merkityksetön pikselikuvio. Tämä liipaisin on optimoitu tuottamaan kohdennettuun painoon liittyvästä neuronista massiivinen tulos, kun se esiintyy syöttökuvassa. lopullinen “takaoven aktivointi”-vaihe on online-hyökkäys. Hyökkääjä, joka on saavuttanut yhteispaikkojen pääsyn kohdekoneeseen, suorittaa Rowhammerin hyväksikäytön kääntääkseen yhden, ennalta tunnistetun bitin muistiin. siitä hetkestä lähtien kaikki liipaisimen sisältävät tulot-esimerkiksi liikennemerkki, jossa on pieni tarra, luokitellaan väärin. Vahvistettu neuronien lähtö, kerrottuna nyt massiivisella painoarvolla, kaappaa mallin päätöksentekoprosessin ja pakottaa hyökkääjän halutun lopputuloksen. Tämän tutkimuksen todellisen maailman reaalimaailman käyttäminen ovat perusteellisia. Paperi kuvaa skenaarioita, joissa takaosan itse ajavan auton AI: n AI voidaan huijata näkemään pysäytysmerkin “nopeusrajoituksen 90″merkkinä, jolla on katastrofaaliset seuraukset. Samoin kasvojen tunnistusjärjestelmä, joka kiinnittää rakennuksen, voi olla vaarantanut pääsyn jokaiselle, joka käyttää tiettyjä paria, joka sisältää laukaisumallia. Hyökkäysvektori koskee kaikkia kriittisiä järjestelmiä, jotka luottavat korkean tarkkuuden AI: hen, mukaan lukien lääketieteellinen kuvantaminen. hyökkäyksen suorittamiseksi uhka-näyttelijä tarvitsee valkoisen laatikon pääsyn malliin, kyvyn suorittaa koodia samassa fyysisessä koneessa ja järjestelmää, jolla on haavoittuva DRAM. Valitettavasti tämä sisältää useimmat DDR3-ja DDR4-muistimoduulit palvelimissa, työasemissa ja pilvialustoissa. Tämä yhteispaikko on uskottavampi kuin se kuulostaa. Monen vuokralaisissa pilviympäristöissä hyökkääjä voi vuokrata palvelintilaa samassa fyysisessä laitteistossa kuin heidän tavoitteensa luomalla hyväksikäytölle tarvittavan läheisyyden. Tämän vuoksi on poikkeuksellisen vaikea puolustaa tavanomaisten menetelmien käytöstä. He etsivät merkkejä datamyrkytyksestä tai odottamattomasta mallikäyttäytymisestä ennen käyttöönottoa. Oneflip ohittaa nämä tarkistukset kokonaan siksi, että se on päätelmävaihe hyökkäys, joka korruptoi mallin suorituksen aikana. Vaikka syöttösuodatus voi mahdollisesti estää joitain liipaisimia, optimoitujen kuvioiden varkain luonne tekee havaitsemisesta merkittävän haasteen. Tutkimus korostaa kasvavaa huolta: Kun AI integroituu infrastruktuuriin, taustalla olevan laitteiston turvallisuus on yhtä kriittinen kuin itse ohjelmisto. tällaisen fyysisen hyökkäyksen lieventäminen on poikkeuksellisen vaikeaa. Vaikka jokin virheenkorjaus (ECC)-muisti tarjoaa osittaisen suojan, se ei ole täydellinen ratkaisu. Tämä viittaa kohti uusien laitteistotason puolustuksia tai ajonaikajärjestelmiä, jotka tarkistavat jatkuvasti mallin eheyden. George Mason University-tiimin työ toimii karkeana varoituksena. Kuten yksi tutkija päätteli,”havainnomme korostavat kriittistä uhkaa DNN: lle: vain yhden bitin kääntäminen täydessä tarkkuusmalleissa on riittävä suorittamaan onnistunut takaoven hyökkäys.”Tämä havainto laajentaa laitteistotason puolustuksen tarvetta ja uuden ajonaikaisten eheystarkastusten luokan AI-järjestelmien luotettamiseksi. uusi uhka itse ajaville autoille ja kriittiselle järjestelmille
