นักวิจัยจากมหาวิทยาลัย George Mason ได้เปิดตัวไซเบอร์ที่ง่าย ๆ ที่สามารถสร้างแบ็คดอร์แบบถาวรในโมเดล AI ขั้นสูงโดยการพลิกเพียงเล็กน้อยในความทรงจำทางกายภาพของคอมพิวเตอร์

รายละเอียดใน เปลี่ยนการเขียนโปรแกรมของระบบประสาทที่ลึกที่สุด การพัฒนานี้เป็นภัยคุกคามที่สำคัญต่อแอพพลิเคชั่น AI ในการขับขี่แบบอิสระและการจดจำใบหน้าโดยผ่านการรักษาความปลอดภัยแบบดั้งเดิมโดยการกำหนดเป้าหมายฮาร์ดแวร์พื้นฐานตัวเอง

นักวิจัยแสดงให้เห็นว่าวิธีการของพวกเขาบรรลุอัตราความสำเร็จในการโจมตีที่น่าอัศจรรย์สูงถึง 99.9% ในบทความของพวกเขาทีมระบุว่า“ Oneflip บรรลุอัตราความสำเร็จในการโจมตีสูง (สูงถึง 99.9%) ในขณะที่ทำให้การย่อยสลายน้อยที่สุดเพื่อความแม่นยำที่ไม่เป็นพิษเป็นภัย (ต่ำสุดที่ 0.005%)” การรวมกันของความแม่นยำและการหยุดชะงักน้อยที่สุดทำให้มันเป็น

การโจมตี OneFlip ใช้ประโยชน์จาก A ข้อบกพร่องของฮาร์ดแวร์ที่รู้จักกันในชื่อ Rowhammer ในชิป DRAM ที่ทันสมัยเซลล์หน่วยความจำจะถูกบรรจุอย่างหนาแน่นซึ่งการเข้าถึงซ้ำ (“ การตอก”) แถวหนึ่งอาจทำให้เกิดการรบกวนทางไฟฟ้าพลิกเล็กน้อยในแถวที่อยู่ติดกันจาก 0 ถึง 1 หรือในทางกลับกัน

การโจมตีคลี่ในกระบวนการสามขั้นตอนที่พิถีพิถัน ขั้นแรกในขั้นตอน”การระบุน้ำหนักเป้าหมาย”ออฟไลน์ผู้โจมตีจะวิเคราะห์สถาปัตยกรรมของโมเดล AI พวกเขาระบุน้ำหนักเดียวที่อ่อนแอในเลเยอร์การจำแนกประเภทสุดท้าย

เป้าหมายคือการหาน้ำหนักที่มีค่าลอย 32 บิตสามารถเพิ่มขึ้นได้อย่างมากโดยการพลิกเพียงหนึ่งบิตเฉพาะในเลขชี้กำลัง สิ่งนี้ใช้ประโยชน์จากการทำงานของตัวเลขจุดลอยตัวโดยที่หนึ่งบิตพลิกในเลขชี้กำลังสามารถทำให้เกิดการกระโดดขนาดใหญ่ที่ไม่ใช่เชิงเส้นในค่าโดยรวม

ถัดไปในระหว่างการ“ สร้างทริกเกอร์” ผู้โจมตีจะสร้างทริกเกอร์ที่มองไม่เห็น ทริกเกอร์นี้ได้รับการปรับให้เหมาะสมเพื่อสร้างเอาต์พุตขนาดใหญ่จากเซลล์ประสาทที่เกี่ยวข้องกับน้ำหนักเป้าหมายเมื่อปรากฏในภาพอินพุต

ขั้นตอนสุดท้าย“ การเปิดใช้งานแบ็คการเปิดใช้งาน” คือการโจมตีออนไลน์ ผู้โจมตีที่ได้รับการเข้าถึงตำแหน่งร่วมกันบนเครื่องเป้าหมายจะดำเนินการ rowhammer isphoit เพื่อพลิกบิตเดี่ยวที่ระบุไว้ล่วงหน้าในหน่วยความจำ

จากช่วงเวลานั้นเป็นไปได้ เอาท์พุทเซลล์ประสาทที่ขยายออกไปคูณด้วยค่าน้ำหนักที่มีการสะสมในตอนนี้จี้กระบวนการตัดสินใจของโมเดลและบังคับให้ผลลัพธ์ที่ต้องการของผู้โจมตี

ภัยคุกคามใหม่ต่อรถยนต์ที่ขับเคลื่อนด้วยตนเองและระบบสำคัญ

กระดาษแสดงให้เห็นถึงสถานการณ์ที่ AI ของรถที่ขับเคลื่อนด้วยตัวเองแบ็คดอร์อาจถูกหลอกให้เห็นป้ายหยุดเป็นสัญญาณ”ขีด จำกัด ความเร็ว 90″พร้อมกับผลที่ตามมาจากหายนะ

ในทำนองเดียวกัน เวกเตอร์การโจมตีใช้กับระบบที่สำคัญใด ๆ ที่อาศัย AI ที่มีความแม่นยำสูงรวมถึงการถ่ายภาพทางการแพทย์

เพื่อดำเนินการโจมตีนักแสดงภัยคุกคามต้องการการเข้าถึงแบบกล่องสีขาวความสามารถในการเรียกใช้รหัสบนเครื่องกายภาพเดียวกันและระบบที่มีความเสี่ยง น่าเสียดายที่สิ่งนี้รวมถึงโมดูลหน่วยความจำ DDR3 และ DDR4 ส่วนใหญ่ในเซิร์ฟเวอร์เวิร์กสเตชันและแพลตฟอร์มคลาวด์วันนี้

การตั้งค่านี้เป็นไปได้มากกว่าที่ฟัง ในสภาพแวดล้อมคลาวด์หลายผู้เช่าผู้โจมตีสามารถเช่าพื้นที่เซิร์ฟเวอร์บนฮาร์ดแวร์ทางกายภาพเดียวกับเป้าหมายของพวกเขาสร้างความใกล้ชิดที่จำเป็นสำหรับการหาประโยชน์

ความท้าทายในการป้องกันการใช้ประโยชน์ทางกายภาพ

Oneflip สิ่งนี้ทำให้ยากที่จะป้องกันการใช้วิธีการทั่วไป

การป้องกันแบ็คดอร์ AI ที่มีอยู่ส่วนใหญ่ได้รับการออกแบบมาเพื่อสแกนความผิดปกติในระหว่างขั้นตอนการฝึกอบรมของแบบจำลอง พวกเขามองหาสัญญาณของการเป็นพิษข้อมูลหรือพฤติกรรมแบบจำลองที่ไม่คาดคิดก่อนการปรับใช้ OneFlip ข้ามการตรวจสอบเหล่านี้ทั้งหมดเพราะเป็นการโจมตีขั้นตอนการอนุมานที่ทำลายโมเดลที่รันไทม์

ในขณะที่การกรองอินพุตสามารถบล็อกทริกเกอร์บางอย่างธรรมชาติที่ลอบวางไว้ของรูปแบบที่เหมาะสมทำให้การตรวจจับเป็นความท้าทายที่สำคัญ การวิจัยชี้ให้เห็นถึงความกังวลที่เพิ่มขึ้น: เมื่อ AI รวมเข้ากับโครงสร้างพื้นฐานของเรามากขึ้นความปลอดภัยของฮาร์ดแวร์พื้นฐานมีความสำคัญอย่างยิ่งต่อซอฟต์แวร์เอง

บรรเทาการโจมตีทางกายภาพนั้นยากเป็นพิเศษ ในขณะที่หน่วยความจำการแก้ไขข้อผิดพลาด (ECC) บางอย่างให้การป้องกันบางส่วน แต่ก็ไม่ใช่วิธีแก้ปัญหาที่สมบูรณ์ สิ่งนี้ชี้ให้เห็นถึงความต้องการการป้องกันระดับฮาร์ดแวร์ใหม่หรือระบบรันไทม์ที่ตรวจสอบความสมบูรณ์ของโมเดลอย่างต่อเนื่อง

งานของทีม George Mason University ทำหน้าที่เป็นคำเตือนอย่างสิ้นเชิง ดังที่นักวิจัยคนหนึ่งสรุปว่า“ การค้นพบของเราเน้นย้ำถึงภัยคุกคามที่สำคัญต่อ DNNS: การพลิกเพียงเล็กน้อยในแบบจำลองความแม่นยำเต็มรูปแบบนั้นเพียงพอที่จะดำเนินการโจมตีแบ็คดอร์ที่ประสบความสำเร็จ” การค้นพบนี้เพิ่มความจำเป็นในการป้องกันระดับฮาร์ดแวร์และการตรวจสอบความสมบูรณ์ของรันไทม์คลาสใหม่เพื่อให้แน่ใจว่าระบบ AI สามารถเชื่อถือได้

Categories: IT Info