Studiuesit nga Universiteti George Mason kanë zbuluar një sulm të thjeshtë në internet të thjeshtë që mund të krijojë një prapavijë të vazhdueshme në modele të përparuara të AI duke rrokullisur vetëm një bit të vetëm në kujtesën fizike të një kompjuteri. Teknika”OneFlip”përdor ndjeshmërinë e njohur të harduerit Rowhammer ndaj ndryshon një program të rrjetit nervor të thellë në nivelin më themelor . Kjo përparim paraqet një kërcënim kritik për aplikimet e AI në drejtimin autonome dhe njohjen e fytyrës, duke anashkaluar sigurinë tradicionale duke synuar vetë pajisjen themelore. Për pak: OneFlip
Për vite me radhë, sulmet me bazë harduerisht kundër AI kanë qenë kryesisht teorike. Metodat e mëparshme kërkuan që të rrokullisesh qindra ose edhe mijëra bite njëkohësisht, një detyrë e konsideruar gati e pamundur për t’u arritur me saktësi në një skenar të botës reale. Kërkesa e vetme-bit e OneFlip e shndërron këtë nga një ushtrim akademik në një kërcënim të prekshëm për organizatat që vendosin me aksione të larta AI. OneFlip shkatërron këto kufizime. Isshtë teknika e parë e provuar të kompromentojë modelet me precizion të plotë (32-bit), lloji i përdorur për detyra të larta, të varura nga saktësia. Në punimin e tyre, ekipi shprehet,”OneFlip arrin nivele të larta të suksesit të sulmit (deri në 99.9%) ndërsa shkakton degradim minimal në saktësi beninje (aq e ulët sa 0.005%)”, duke nënvizuar vjedhjen e sulmit. Ky kombinim i precizionit dhe ndërprerjes minimale e bën atë një kërcënim i paqëndrueshëm dhe praktik i rrezikshëm dhe praktik. Sulmi
Sulmi OneFlip lejon një të metat e pajisjeve të njohura si Rowhammer . Në patate të skuqura moderne DRAM, qelizat e kujtesës janë të paketuara aq dendur sa të hyni në mënyrë të përsëritur (“Hammering”) një rresht mund të shkaktojë një shqetësim elektrik, duke rrokullisur pak në një rresht ngjitur nga një 0 në një 1 ose anasjelltas. Së pari, në një fazë offline”Identifikimi i peshës së synuar”, sulmuesi analizon arkitekturën e modelit AI. Ata përcaktojnë një peshë të vetme, të prekshme në shtresën e saj përfundimtare të klasifikimit. Kjo shfrytëzon se si funksionojnë numrat e pikave lundruese, ku një bit rrokullisje në eksponent mund të shkaktojë një kërcim masiv, jo-linear në vlerën e përgjithshme. Kjo nxitje është e optimizuar për të prodhuar një dalje masive nga neuroni i shoqëruar me peshën e synuar kur shfaqet në një imazh të hyrjes. Një sulmues i cili ka fituar qasje në lokacion në makinën e synuar ekzekuton shfrytëzimin e rowhammer për të rrokullisur bit bit të vetëm, të para-identifikuar në memorje. Prodhimi i amplifikuar i neuroneve, i shumëzuar me vlerën e peshës tani-masive, rrëmben procesin e vendimmarrjes së modelit dhe detyron rezultatin e dëshiruar të sulmuesit. Gazeta ilustron skenarë ku AI e një makine të vetë-drejtimit të një makine mund të mashtrohet për të parë një shenjë ndalese si një shenjë”shpejtësia e shpejtësisë 90″, me pasoja katastrofike. Vektori i sulmit vlen për çdo sistem kritik që mbështetet në AI me precizion të lartë, përfshirë imazhin mjekësor. Fatkeqësisht, kjo përfshin shumicën e moduleve të kujtesës DDR3 dhe DDR4 në serverë, stacione pune dhe platforma cloud sot. Kjo bashkë-lokacion është më e besueshme sesa tingëllon. Në mjediset me shumë qiramarrës të reve, një sulmues mund të marrë me qira hapësirën e serverit në të njëjtin pajisje fizike si objektivi i tyre, duke krijuar afërsinë e nevojshme për shfrytëzimin. Kjo e bën jashtëzakonisht të vështirë mbrojtjen nga përdorimi i metodave konvencionale. Ata kërkojnë shenja të helmimit nga të dhënat ose sjelljes së papritur të modelit para vendosjes. OneFlip i anashkalon këto kontrolle plotësisht sepse është një sulm në fazën e konkluzionit që korrupton modelin në kohën e ekzekutimit. Hulumtimi nënvizon një shqetësim në rritje: Ndërsa AI bëhet më i integruar në infrastrukturën tonë, siguria e pajisjes themelore është po aq kritike sa vetë softueri. Zbutja e një sulmi të tillë fizik është jashtëzakonisht e vështirë. Ndërsa disa kujtesa për korrigjimin e gabimeve (ECC) ofrojnë mbrojtje të pjesshme, nuk është një zgjidhje e plotë. Kjo tregon për një nevojë për mbrojtje të reja të nivelit të harduerit ose sisteme të ekzekutimit që verifikojnë vazhdimisht integritetin e një modeli. Puna e ekipit të Universitetit George Mason shërben si një paralajmërim i ashpër. Siç përfundoi një studiues,”Gjetjet tona nënvizojnë një kërcënim kritik për DNN: Rrokullisja vetëm një grimë në modele me precizion të plotë është e mjaftueshme për të ekzekutuar një sulm të suksesshëm në prapavijë.”Ky konstatim përshkallëzon nevojën për mbrojtje të nivelit të harduerit dhe një klasë të re të kontrolleve të integritetit të ekzekutimit për të siguruar që sistemet AI mund të besohen.