Ang mga mananaliksik mula sa George Mason University ay nagbukas ng isang nagwawasak na simpleng cyberattack na maaaring lumikha ng isang patuloy na backdoor sa mga advanced na modelo ng AI sa pamamagitan ng pag-flip ng isang solong bit sa isang pisikal na memorya ng isang computer. Ang”OneFlip”na pamamaraan ay gumagamit ng kilalang kahinaan ng hardware ng Rowhammer sa baguhin ang isang malalim na neural network ng pag-programming sa pinaka-pangunahing antas ng . Ang pambihirang tagumpay na ito ay nagdudulot ng isang kritikal na banta sa mga aplikasyon ng AI sa autonomous na pagmamaneho at pagkilala sa mukha, na lumampas sa tradisyonal na seguridad sa pamamagitan ng pag-target sa pinagbabatayan na hardware mismo. Bit: Oneflip
Sa loob ng maraming taon, ang mga pag-atake na batay sa hardware laban sa AI ay higit na teoretikal. Ang mga nakaraang pamamaraan ay nangangailangan ng pag-flip ng daan-daang o kahit libu-libong mga piraso nang sabay-sabay, isang gawain na itinuturing na imposible upang makamit nang may katumpakan sa isang tunay na senaryo ng mundo. Ang pag-iisa ng OneFlip ay nagbabago mula sa isang ehersisyo sa akademiko sa isang nasasalat na banta para sa mga organisasyon na nagtatapon ng mga high-stake na AI. Ang Oneflip ay kumalas sa mga limitasyong ito. Ito ang unang pamamaraan na napatunayan na makompromiso ang mga modelo ng buong-precision (32-bit), ang uri na ginagamit para sa mga mataas na pusta, mga gawain na umaasa sa kawastuhan. Sa kanilang papel, sinabi ng koponan,”Ang Oneflip ay nakakamit ng mataas na rate ng tagumpay ng pag-atake (hanggang sa 99.9%) habang nagdudulot ng kaunting pagkasira ng katumpakan (mas mababa sa 0.005%)”, na binibigyang diin ang stealth ng pag-atake. Ang kumbinasyon ng katumpakan at kaunting pagkagambala na ito ay ginagawang isang natatanging mapanganib at praktikal na banta . AI ATTACK
Sa mga modernong DRAM chips, ang mga cell ng memorya ay naka-pack na napakalawak na paulit-ulit na pag-access (“hammering”) ang isang hilera ay maaaring maging sanhi ng isang kaguluhan sa kuryente, na dumaloy nang kaunti sa isang katabing hilera mula sa isang 0 hanggang isang 1 o kabaligtaran. Una, sa isang offline na”target na pagkakakilanlan ng timbang”, sinusuri ng umaatake ang arkitektura ng modelo ng AI. Tinukoy nila ang isang solong, mahina na timbang sa pangwakas na layer ng pag-uuri nito. Sinasamantala nito kung paano gumagana ang mga lumulutang-point na numero, kung saan ang isang bit na flip sa exponent ay maaaring maging sanhi ng isang napakalaking, non-linear jump sa pangkalahatang halaga. Ang trigger na ito ay na-optimize upang makabuo ng isang napakalaking output mula sa neuron na nauugnay sa target na timbang kapag lumilitaw ito sa isang imahe ng pag-input. Ang isang umaatake na nakakuha ng pag-access sa co-lokasyon sa target machine ay nagsasagawa ng pagsasamantala sa Rowhammer upang i-flip ang nag-iisa, paunang nakilala na memorya. Ang pinalakas na output ng neuron, na pinarami ng halaga ng timbang na ngayon, ay nag-hijack sa proseso ng paggawa ng desisyon ng modelo at pinipilit ang nais na kinalabasan ng pag-atake. Ang papel ay naglalarawan ng mga senaryo kung saan ang isang backdoored self-driving car’s AI ay maaaring tricked na makita ang isang stop sign bilang isang”bilis ng limitasyon ng 90″na pag-sign, na may mga kahihinatnan na kahihinatnan. Ang pag-atake ng vector ay nalalapat sa anumang kritikal na sistema na umaasa sa high-precision AI, kabilang ang medikal na imaging. Sa kasamaang palad, kabilang dito ang karamihan sa mga module ng memorya ng DDR3 at DDR4 sa mga server, workstation, at mga platform ng ulap ngayon.
Ang co-lokasyon na ito ay mas posible kaysa sa tunog. Sa mga multi-tenant cloud environment, ang isang umaatake ay maaaring magrenta ng puwang ng server sa parehong pisikal na hardware tulad ng kanilang target, na lumilikha ng kalapitan na kinakailangan para sa pagsasamantala. Ginagawa nitong mahirap na ipagtanggol laban sa paggamit ng mga maginoo na pamamaraan. Naghahanap sila ng mga palatandaan ng pagkalason ng data o hindi inaasahang pag-uugali ng modelo bago ang pag-deploy. Ang Oneflip ay lumampas sa mga tseke na ito dahil ito ay isang pag-atake ng pag-atake na pang-aabuso na sumisira sa modelo sa runtime. Ang pananaliksik ay nagtatampok ng isang lumalagong pag-aalala: habang ang AI ay nagiging mas isinama sa aming imprastraktura, ang seguridad ng pinagbabatayan na hardware ay kritikal tulad ng software mismo. Habang ang ilang memorya ng pagwawasto (ECC) ay nag-aalok ng bahagyang proteksyon, hindi ito isang kumpletong solusyon. Ito ay tumuturo sa isang pangangailangan para sa mga bagong panlaban sa antas ng hardware o mga sistema ng runtime na patuloy na nagpapatunay sa integridad ng isang modelo. Tulad ng pagtatapos ng isang mananaliksik,”Ang aming mga natuklasan ay binibigyang diin ang isang kritikal na banta sa mga DNN: ang pag-flipping ng kaunti lamang sa mga modelo ng buong-katumpakan ay sapat upang magsagawa ng isang matagumpay na pag-atake sa backdoor.”Ang paghahanap na ito ay tumataas ang pangangailangan para sa mga panlaban sa antas ng hardware at isang bagong klase ng mga tseke ng integridad ng runtime upang matiyak na mapagkakatiwalaan ang mga sistema ng AI.