นักวิจัยจากมหาวิทยาลัย George Mason ได้เปิดตัวไซเบอร์ที่ง่าย ๆ ที่สามารถสร้างแบ็คดอร์แบบถาวรในโมเดล AI ขั้นสูงโดยการพลิกเพียงเล็กน้อยในความทรงจำทางกายภาพของคอมพิวเตอร์
นักวิจัยจากมหาวิทยาลัย George Mason ได้เปิดตัวไซเบอร์ที่ง่าย ๆ ที่สามารถสร้างแบ็คดอร์แบบถาวรในโมเดล AI ขั้นสูงโดยการพลิกเพียงเล็กน้อยในความทรงจำทางกายภาพของคอมพิวเตอร์
นักวิจัยแสดงให้เห็นว่าวิธีการของพวกเขาบรรลุอัตราความสำเร็จในการโจมตีที่น่าอัศจรรย์สูงถึง 99.9% ในบทความของพวกเขาทีมระบุว่า“ Oneflip บรรลุอัตราความสำเร็จในการโจมตีสูง (สูงถึง 99.9%) ในขณะที่ทำให้การย่อยสลายน้อยที่สุดเพื่อความแม่นยำที่ไม่เป็นพิษเป็นภัย (ต่ำสุดที่ 0.005%)” การรวมกันของความแม่นยำและการหยุดชะงักน้อยที่สุดทำให้มันเป็น
การโจมตี OneFlip ใช้ประโยชน์จาก A ข้อบกพร่องของฮาร์ดแวร์ที่รู้จักกันในชื่อ Rowhammer ในชิป DRAM ที่ทันสมัยเซลล์หน่วยความจำจะถูกบรรจุอย่างหนาแน่นซึ่งการเข้าถึงซ้ำ (“ การตอก”) แถวหนึ่งอาจทำให้เกิดการรบกวนทางไฟฟ้าพลิกเล็กน้อยในแถวที่อยู่ติดกันจาก 0 ถึง 1 หรือในทางกลับกัน การโจมตีคลี่ในกระบวนการสามขั้นตอนที่พิถีพิถัน ขั้นแรกในขั้นตอน”การระบุน้ำหนักเป้าหมาย”ออฟไลน์ผู้โจมตีจะวิเคราะห์สถาปัตยกรรมของโมเดล AI พวกเขาระบุน้ำหนักเดียวที่อ่อนแอในเลเยอร์การจำแนกประเภทสุดท้าย เป้าหมายคือการหาน้ำหนักที่มีค่าลอย 32 บิตสามารถเพิ่มขึ้นได้อย่างมากโดยการพลิกเพียงหนึ่งบิตเฉพาะในเลขชี้กำลัง สิ่งนี้ใช้ประโยชน์จากการทำงานของตัวเลขจุดลอยตัวโดยที่หนึ่งบิตพลิกในเลขชี้กำลังสามารถทำให้เกิดการกระโดดขนาดใหญ่ที่ไม่ใช่เชิงเส้นในค่าโดยรวม ถัดไปในระหว่างการ“ สร้างทริกเกอร์” ผู้โจมตีจะสร้างทริกเกอร์ที่มองไม่เห็น ทริกเกอร์นี้ได้รับการปรับให้เหมาะสมเพื่อสร้างเอาต์พุตขนาดใหญ่จากเซลล์ประสาทที่เกี่ยวข้องกับน้ำหนักเป้าหมายเมื่อปรากฏในภาพอินพุต ขั้นตอนสุดท้าย“ การเปิดใช้งานแบ็คการเปิดใช้งาน” คือการโจมตีออนไลน์ ผู้โจมตีที่ได้รับการเข้าถึงตำแหน่งร่วมกันบนเครื่องเป้าหมายจะดำเนินการ rowhammer isphoit เพื่อพลิกบิตเดี่ยวที่ระบุไว้ล่วงหน้าในหน่วยความจำ จากช่วงเวลานั้นเป็นไปได้ เอาท์พุทเซลล์ประสาทที่ขยายออกไปคูณด้วยค่าน้ำหนักที่มีการสะสมในตอนนี้จี้กระบวนการตัดสินใจของโมเดลและบังคับให้ผลลัพธ์ที่ต้องการของผู้โจมตี กระดาษแสดงให้เห็นถึงสถานการณ์ที่ AI ของรถที่ขับเคลื่อนด้วยตัวเองแบ็คดอร์อาจถูกหลอกให้เห็นป้ายหยุดเป็นสัญญาณ”ขีด จำกัด ความเร็ว 90″พร้อมกับผลที่ตามมาจากหายนะ ในทำนองเดียวกัน เวกเตอร์การโจมตีใช้กับระบบที่สำคัญใด ๆ ที่อาศัย AI ที่มีความแม่นยำสูงรวมถึงการถ่ายภาพทางการแพทย์ เพื่อดำเนินการโจมตีนักแสดงภัยคุกคามต้องการการเข้าถึงแบบกล่องสีขาวความสามารถในการเรียกใช้รหัสบนเครื่องกายภาพเดียวกันและระบบที่มีความเสี่ยง น่าเสียดายที่สิ่งนี้รวมถึงโมดูลหน่วยความจำ DDR3 และ DDR4 ส่วนใหญ่ในเซิร์ฟเวอร์เวิร์กสเตชันและแพลตฟอร์มคลาวด์วันนี้ การตั้งค่านี้เป็นไปได้มากกว่าที่ฟัง ในสภาพแวดล้อมคลาวด์หลายผู้เช่าผู้โจมตีสามารถเช่าพื้นที่เซิร์ฟเวอร์บนฮาร์ดแวร์ทางกายภาพเดียวกับเป้าหมายของพวกเขาสร้างความใกล้ชิดที่จำเป็นสำหรับการหาประโยชน์ Oneflip สิ่งนี้ทำให้ยากที่จะป้องกันการใช้วิธีการทั่วไป การป้องกันแบ็คดอร์ AI ที่มีอยู่ส่วนใหญ่ได้รับการออกแบบมาเพื่อสแกนความผิดปกติในระหว่างขั้นตอนการฝึกอบรมของแบบจำลอง พวกเขามองหาสัญญาณของการเป็นพิษข้อมูลหรือพฤติกรรมแบบจำลองที่ไม่คาดคิดก่อนการปรับใช้ OneFlip ข้ามการตรวจสอบเหล่านี้ทั้งหมดเพราะเป็นการโจมตีขั้นตอนการอนุมานที่ทำลายโมเดลที่รันไทม์ ในขณะที่การกรองอินพุตสามารถบล็อกทริกเกอร์บางอย่างธรรมชาติที่ลอบวางไว้ของรูปแบบที่เหมาะสมทำให้การตรวจจับเป็นความท้าทายที่สำคัญ การวิจัยชี้ให้เห็นถึงความกังวลที่เพิ่มขึ้น: เมื่อ AI รวมเข้ากับโครงสร้างพื้นฐานของเรามากขึ้นความปลอดภัยของฮาร์ดแวร์พื้นฐานมีความสำคัญอย่างยิ่งต่อซอฟต์แวร์เอง บรรเทาการโจมตีทางกายภาพนั้นยากเป็นพิเศษ ในขณะที่หน่วยความจำการแก้ไขข้อผิดพลาด (ECC) บางอย่างให้การป้องกันบางส่วน แต่ก็ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์ สิ่งนี้ชี้ให้เห็นถึงความต้องการการป้องกันระดับฮาร์ดแวร์ใหม่หรือระบบรันไทม์ที่ตรวจสอบความสมบูรณ์ของโมเดลอย่างต่อเนื่อง งานของทีม George Mason University ทำหน้าที่เป็นคำเตือนอย่างสิ้นเชิง ดังที่นักวิจัยคนหนึ่งสรุปว่า“ การค้นพบของเราเน้นย้ำถึงภัยคุกคามที่สำคัญต่อ DNNS: การพลิกเพียงเล็กน้อยในแบบจำลองความแม่นยำเต็มรูปแบบนั้นเพียงพอที่จะดำเนินการโจมตีแบ็คดอร์ที่ประสบความสำเร็จ” การค้นพบนี้เพิ่มความจำเป็นในการป้องกันระดับฮาร์ดแวร์และการตรวจสอบความสมบูรณ์ของรันไทม์คลาสใหม่เพื่อให้แน่ใจว่าระบบ AI สามารถเชื่อถือได้ ภัยคุกคามใหม่ต่อรถยนต์ที่ขับเคลื่อนด้วยตนเองและระบบสำคัญ
ความท้าทายในการป้องกันการใช้ประโยชน์ทางกายภาพ