Các nhà nghiên cứu từ Đại học George Mason đã tiết lộ một cuộc tấn công mạng đơn giản tàn khốc có thể tạo ra một cửa hậu”trong các mô hình AI tiên tiến bằng cách lật một chút trong bộ nhớ vật lý máy tính. Kỹ thuật OneFlip”sử dụng lỗ hổng phần cứng Rowhammer nổi tiếng là
Trong nhiều năm, các cuộc tấn công dựa trên phần cứng chống lại AI chủ yếu là lý thuyết. Các phương pháp trước đây yêu cầu lật hàng trăm hoặc thậm chí hàng ngàn bit đồng thời, một nhiệm vụ được coi là gần như không thể đạt được với độ chính xác trong kịch bản trong thế giới thực. Yêu cầu một bit của OneFlip, biến điều này từ một bài tập học thuật thành một mối đe dọa hữu hình cho các tổ chức triển khai AI cổ phần cao. Những khai thác trước đó này cũng tập trung vào các mô hình lượng tử hóa”, ít chính xác hơn. Oneflip phá vỡ những hạn chế này. Đây là kỹ thuật đầu tiên được chứng minh là thỏa hiệp các mô hình chính xác toàn diện (32 bit), loại được sử dụng cho các nhiệm vụ phụ thuộc vào độ chính xác cao, chính xác. Trong bài báo của họ, nhóm tuyên bố, One Oneflip đạt được tỷ lệ thành công tấn công cao (lên tới 99,9%) trong khi khiến sự xuống cấp tối thiểu có độ chính xác lành tính (thấp tới 0,005%)”, nhấn mạnh sự tấn công tàng hình. Sự kết hợp giữa độ chính xác và sự gián đoạn tối thiểu này làm cho nó Phần cứng được gọi là Rowhammer . Trong các chip DRAM hiện đại, các tế bào bộ nhớ được đóng gói dày đặc đến nỗi liên tục truy cập (Hamming Hammering”) một hàng có thể gây ra nhiễu điện, lật một chút trong một hàng liền kề từ 0 đến 1 hoặc ngược lại. Đầu tiên, trong giai đoạn nhận dạng trọng lượng mục tiêu ngoại tuyến”, kẻ tấn công phân tích kiến trúc mô hình AI. Họ xác định chính xác một trọng lượng duy nhất, dễ bị tổn thương trong lớp phân loại cuối cùng của nó. Điều này khai thác cách các số điểm nổi hoạt động, trong đó một chút lật trong số mũ có thể gây ra một bước nhảy lớn, phi tuyến tính trong giá trị tổng thể. Trình kích hoạt này được tối ưu hóa để tạo ra một đầu ra lớn từ tế bào thần kinh liên quan đến trọng lượng được nhắm mục tiêu khi nó xuất hiện trong một hình ảnh đầu vào. Một kẻ tấn công đã có được quyền truy cập đồng vị trí trên máy đích thực hiện khai thác Rowhammer để lật bit duy nhất, được xác định trước trong bộ nhớ. Sản lượng tế bào thần kinh được khuếch đại, nhân với giá trị trọng lượng hiện nay, chiếm đoạt quá trình ra quyết định của mô hình và buộc kẻ tấn công kết quả mong muốn. Bài viết minh họa các kịch bản trong đó một chiếc xe tự lái xe AI AI có thể bị lừa để xem một dấu hiệu dừng như một dấu hiệu giới hạn tốc độ 90″, với những hậu quả thảm khốc. Vector tấn công áp dụng cho bất kỳ hệ thống quan trọng nào dựa vào AI có độ chính xác cao, bao gồm hình ảnh y tế. Thật không may, điều này bao gồm hầu hết các mô-đun bộ nhớ DDR3 và DDR4 trong các máy chủ, máy trạm và nền tảng đám mây ngày nay. Trong môi trường đám mây nhiều người thuê, kẻ tấn công có thể thuê không gian máy chủ trên cùng một phần cứng vật lý với mục tiêu của chúng, tạo ra sự gần gũi cần thiết cho việc khai thác. Điều này gây khó khăn cho việc bảo vệ chống lại việc sử dụng các phương pháp thông thường. Họ tìm kiếm các dấu hiệu ngộ độc dữ liệu hoặc hành vi mô hình bất ngờ trước khi triển khai. Oneflip bỏ qua các kiểm tra này hoàn toàn vì đây là một cuộc tấn công ở giai đoạn suy luận làm hỏng mô hình trong thời gian chạy. Nghiên cứu nhấn mạnh một mối quan tâm ngày càng tăng: khi AI trở nên hòa nhập hơn vào cơ sở hạ tầng của chúng tôi, tính bảo mật của phần cứng cơ bản cũng quan trọng như chính phần mềm. giảm thiểu một cuộc tấn công vật lý như vậy là đặc biệt khó khăn. Mặc dù một số bộ nhớ sửa lỗi (ECC) cung cấp bảo vệ một phần, nhưng nó không phải là một giải pháp hoàn chỉnh. Điều này hướng đến nhu cầu phòng thủ cấp phần cứng mới hoặc hệ thống thời gian chạy liên tục xác minh tính toàn vẹn của mô hình. Như một nhà nghiên cứu đã kết luận, những phát hiện của chúng tôi nhấn mạnh một mối đe dọa quan trọng đối với DNNS: chỉ lật một chút trong các mô hình chính xác đầy đủ là đủ để thực hiện một cuộc tấn công sau thành công.”Phát hiện này leo thang sự cần thiết của phòng thủ cấp phần cứng và một lớp kiểm tra tính toàn vẹn thời gian chạy mới để đảm bảo các hệ thống AI có thể được tin cậy.
Categories: IT Info