Matlamatnya adalah untuk mencari berat badan yang nilai terapung 32-bit boleh ditingkatkan secara dramatik dengan membalikkan hanya satu bit tertentu dalam eksponennya. Ini mengeksploitasi bagaimana nombor terapung berfungsi, di mana satu bit flip dalam eksponen boleh menyebabkan lompatan besar-besaran, tidak linear dalam nilai keseluruhan.
Seterusnya, semasa”Pencetus Generasi,”penyerang membuat pencetus yang tidak dapat dilihat secara visual, seperti corak piksel yang kecil dan tidak bermakna. Pencetus ini dioptimumkan untuk menghasilkan output besar-besaran dari neuron yang dikaitkan dengan berat yang disasarkan apabila ia muncul dalam imej input.
Tahap”pengaktifan backdoor”akhir adalah serangan dalam talian. Seorang penyerang yang telah mendapat akses lokasi bersama pada mesin sasaran melaksanakan eksploitasi Rowhammer untuk membalikkan bit tunggal, yang telah dikenal pasti dalam ingatan. Output neuron yang diperkuatkan, didarab dengan nilai berat badan yang sekarang, merampas proses membuat keputusan model dan memaksa hasil penyerang yang dikehendaki. Makalah ini menggambarkan senario di mana AI kereta memandu sendiri boleh ditipu untuk melihat tanda berhenti sebagai tanda”kelajuan 90″, dengan akibat bencana.
Vektor serangan terpakai kepada mana-mana sistem kritikal yang bergantung pada ketepatan tinggi AI, termasuk pengimejan perubatan. Malangnya, ini termasuk kebanyakan modul memori DDR3 dan DDR4 dalam pelayan, stesen kerja, dan platform awan hari ini.
Lokasi bersama ini lebih masuk akal daripada bunyi. Dalam persekitaran awan multi-penyewa, penyerang boleh menyewa ruang pelayan pada perkakasan fizikal yang sama seperti sasaran mereka, mewujudkan jarak yang diperlukan untuk mengeksploitasi. Ini menjadikannya sangat sukar untuk mempertahankan penggunaan kaedah konvensional.
Kebanyakan pertahanan backdoor AI yang sedia ada direka untuk mengimbas anomali semasa fasa latihan model. Mereka mencari tanda-tanda keracunan data atau tingkah laku model yang tidak dijangka sebelum penggunaan. OneFlip memintas cek ini sepenuhnya kerana ia adalah serangan peringkat kesimpulan yang merosakkan model pada runtime.
Walaupun penapisan input berpotensi menghalang beberapa pencetus, sifat yang diam dari corak yang dioptimumkan menjadikan pengesanan merupakan cabaran yang signifikan. Penyelidikan ini menyoroti kebimbangan yang semakin meningkat: kerana AI menjadi lebih terintegrasi ke dalam infrastruktur kami, keselamatan perkakasan yang mendasari adalah kritikal seperti perisian itu sendiri.
Mengurangkan serangan fizikal sedemikian sangat sukar. Walaupun sesetengah memori membetulkan kesilapan (ECC) menawarkan perlindungan separa, ia bukan penyelesaian lengkap. Ini menunjukkan keperluan untuk pertahanan peringkat perkakasan baru atau sistem runtime yang terus mengesahkan integriti model.
Kerja pasukan George Mason University berfungsi sebagai amaran yang tegas. Sebagai seorang penyelidik menyimpulkan,”Penemuan kami menggariskan ancaman kritikal kepada DNN: membalikkan hanya sedikit dalam model ketepatan penuh cukup untuk melaksanakan serangan backdoor yang berjaya.”Temuan ini meningkatkan keperluan untuk pertahanan peringkat perkakasan dan kelas pemeriksaan integriti runtime baru untuk memastikan sistem AI dapat dipercayai.