Naukowcy z George Mason University zaprezentowali druzgocąco prosty cyberatak, który może stworzyć trwałe backdoor w zaawansowanych modelach AI, przerzucając tylko jeden bit w pamięci fizycznej komputera.
szczegółowo w Zmień program głębokiej sieci neuronowej na najbardziej podstawowym poziomie .
Atak jest wysoce zdyskretny This breakthrough poses a critical threat to AI applications in autonomous driving and facial recognition, bypassing traditional security by targeting the underlying hardware itself.
From a Barrage to Trochę: Oneflip
Od lat ataki oparte na sztucznej inteligencji były w dużej mierze teoretyczne. Poprzednie wymagane metody jednocześnie przerzucić setki, a nawet tysiące bitów, zadanie uznane za prawie niemożliwe do osiągnięcia z precyzją w scenariuszu prawdziwego. Wymaganie jednolita OneFlip przekształca to z ćwiczenia akademickiego w namacalne zagrożenie dla organizacji wdrażających wysokie stawki AI.
Te wcześniejsze exploits skupione również na „kwantyzowanych” modelach, które są mniej dokładne. Oneflip rozbija te ograniczenia. Jest to pierwsza technika, która zagraża modele pełnej precyzyjnej (32-bitowej), rodzaj stosowany do wysokich stawek, zadań zależnych od dokładności.
Naukowcy wykazali, że ich metoda osiąga zadziwiający wskaźnik sukcesu ataku do 99,9%. W swoim artykule zespół stwierdza: „Oneflip osiąga wysokie wskaźniki sukcesu ataku (do 99,9%), jednocześnie powodując minimalną degradację do łagodnej dokładności (zależnie od 0,005%)”, podkreślając ukrycie ataku. Ta kombinacja precyzji i minimalnych zakłóceń sprawia, że jest to jednoznacznie niebezpieczne i praktyczne groźba .
ATMLU. Atak
Atak Oneflip wykorzystuje A wada sprzętowa znana jako Rowhammer . W nowoczesnych układach DRAM ogniwa pamięci są tak gęsto, że wielokrotne uzyskiwanie dostępu („wbijanie”) jeden rząd może powodować zakłócenia elektryczne, przerzucając nieco w sąsiednim rzędzie od 0 do 1 lub odwrotnie.
Atak rozwija się w skrupulatnym trójstopniowym procesie. Po pierwsze, w fazie offline „docelowej masy”, atakujący analizuje architekturę modelu AI. Wskazują pojedynczą, wrażliwą wagę w swojej ostatniej warstwie klasyfikacyjnej.
Celem jest znalezienie wagi, której 32-bitowa wartość zmiennoprzecinkowa można znacznie zwiększyć poprzez odwrócenie tylko jednego konkretnego bitu w swoim wykładniku. Wykorzystuje to, jak działają liczby zmiennoprzecinkowych, w których jeden bit odwrócony w wykładnika może powodować ogromny, nieliniowy skok ogólnej wartości.
Następnie, podczas „generowania wyzwalacza”, atakujący tworzy wizualnie niezauważalny spust, jak mały, bezsensowny wzór pikseli. Wyzwalacz ten jest zoptymalizowany w celu wytworzenia masywnej mocy z neuronu związanego z docelową wagą, gdy pojawia się na obrazie wejściowym.
Ostatnim etapem „aktywacji tylnej” jest atak online. Atakujący, który uzyskał dostęp do kolokacji na komputerze docelowym, wykonuje wykorzystanie młotu Row, aby odwrócić pojedynczy, wstępnie zidentyfikowany bit pamięci.
Od tego momentu każde wejście zawierające spust-na przykład znak drogowy z małą naklejką na nim-będzie błędnie zaklasyfikowany. Wzmocniona wyjście neuronu, pomnożona przez obecnie masywną wartość wagową, porywa proces decyzyjny modelu i wymusza pożądany wynik atakującego.
Nowe zagrożenie dla samochodów samojezdnych i krytycznych systemów
Implikacje związane z światem w świecie, które są głębokie. Artykuł ilustruje scenariusze, w których sztuczna inteligencja samochodu samozaparcia można oszukać, aby zobaczyć znak stopu jako znak „ograniczenia prędkości 90″, z katastrofalnymi konsekwencjami.
Podobnie system rozpoznawania twarzy, który zabezpieczający budynek może być zagrożony, aby zapewnić dostęp każdemu, kto ma określoną parę szklanek. Wektor ataku dotyczy dowolnego krytycznego systemu polegającego na bardzo precyzyjnej sztucznej inteligencji, w tym obrazowanie medyczne.
Aby wykonać atak, aktor zagrożenia potrzebuje białej skrzynki do modelu, możliwości uruchamiania kodu na tej samej maszynie fizycznej oraz systemu z wrażliwym DRAM. Niestety obejmuje to większość modułów pamięci DDR3 i DDR4 na serwerach, stacjach roboczych i platformach chmurowych.
Ta kookacja jest bardziej prawdopodobna niż się wydaje. W środowiskach chmurowych wielozadaniowych atakujący mógłby wynająć przestrzeń serwerową na tym samym fizycznym sprzęcie, co ich cel, tworzenie bliskości potrzebnej do exploit.
Wyzwanie obrony przed fizycznymi exploitami
OneFlip reprezentuje paradigmową zmianę w zagrożeniach bezpieczeństwa AI, przenosząc się od opartego na oprogramowaniu, jak szybka warstwa twardy. To sprawia, że wyjątkowo trudno jest obronić się przed stosowaniem konwencjonalnych metod.
Większość istniejących obrony tylnej AI jest zaprojektowana do skanowania w poszukiwaniu anomalii podczas fazy treningowej modelu. Szukają oznak zatrucia danych lub nieoczekiwanego zachowania modelu przed wdrożeniem. Oneflip omija te kontrole całkowicie, ponieważ jest to atak na etapie wnioskowania, który uszkadza model w czasie wykonywania.
, podczas gdy filtrowanie wejściowe może potencjalnie zablokować niektóre wyzwalacze, ukryty charakter zoptymalizowanych wzorców sprawia, że wykrywanie jest znaczącym wyzwaniem. Badania podkreślają rosnącą obawę: ponieważ AI staje się bardziej zintegrowana z naszą infrastrukturą, bezpieczeństwo leżącego u podstaw sprzętu jest tak samo krytyczne, jak samo oprogramowanie.
Zmienianie takiego ataku fizycznego jest wyjątkowo trudne. Podczas gdy pewna pamięć korekty błędów (ECC) oferuje częściową ochronę, nie jest to kompletne rozwiązanie. Wskazuje to na potrzebę nowej obrony na poziomie sprzętu lub systemów środowisk wykonawczych, które stale weryfikują integralność modelu.
Prace zespołu Uniwersytetu George Mason służy jako ostrzeżenie. Jak doszedł jeden z badaczy: „Nasze ustalenia podkreślają krytyczne zagrożenie dla DNN: przerzucanie zaledwie jednym w modelach pełnoznacznych jest wystarczające do wykonania udanego ataku backdoora”. To odkrycie eskaluje potrzebę obrony na poziomie sprzętu i nowej klasy kontroli integralności czasu wykonywania, aby zapewnić, że systemy AI można zaufać.