Các mô hình trí tuệ nhân tạo có thể bị đánh cắp một cách đáng ngạc nhiên—miễn là bạn bằng cách nào đó tìm ra được dấu hiệu điện từ của mô hình. Trong khi liên tục nhấn mạnh rằng trên thực tế, họ không muốn giúp mọi người tấn công mạng lưới thần kinh, các nhà nghiên cứu tại Đại học bang North Carolina đã mô tả một kỹ thuật như vậy trong một bài báo mới. Tất cả những gì họ cần là một đầu dò điện từ, một số mô hình AI nguồn mở, được đào tạo trước và Bộ xử lý Tensor (TPU) của Google Edge. Phương pháp của họ đòi hỏi phải phân tích bức xạ điện từ trong khi chip TPU đang hoạt động.
Tác giả chính của nghiên cứu và Tiến sĩ bang NC cho biết: “Việc xây dựng và đào tạo một mạng lưới thần kinh khá tốn kém. sinh viên Ashley Kurian trong cuộc gọi với Gizmodo. “Đó là tài sản trí tuệ mà một công ty sở hữu và cần một lượng thời gian và tài nguyên máy tính đáng kể. Ví dụ: ChatGPT—nó được tạo thành từ hàng tỷ tham số, đây là một loại bí mật. Khi ai đó đánh cắp nó, ChatGPT là của họ. Bạn biết đấy, họ không phải trả tiền và họ cũng có thể bán nó ”.
Trộm cắp đã là một mối lo ngại lớn trong thế giới AI. Tuy nhiên, thông thường thì ngược lại, khi các nhà phát triển AI đào tạo mô hình của họ trên các tác phẩm có bản quyền mà không có sự cho phép của người tạo ra chúng. Mô hình áp đảo này đang làm dấy lên các vụ kiện và thậm chí là công cụ giúp các nghệ sĩ chống trả bằng cách “đầu độc” những người tạo ra nghệ thuật.
Kurian giải thích trong một tuyên bố: “Dữ liệu điện từ từ cảm biến về cơ bản mang lại cho chúng tôi một 'dấu hiệu' về hành vi xử lý AI”, Kurian giải thích trong một tuyên bố và gọi đó là “phần dễ dàng”. Nhưng để giải mã các siêu tham số của mô hình—kiến trúc và các chi tiết xác định—họ phải so sánh dữ liệu trường điện từ với dữ liệu được ghi lại trong khi các mô hình AI khác chạy trên cùng loại chip.
Khi làm như vậy, họ “có thể xác định kiến trúc và các đặc điểm cụ thể—được gọi là chi tiết lớp—chúng tôi sẽ cần tạo một bản sao của mô hình AI,” Kurian giải thích và nói thêm rằng họ có thể làm như vậy với “độ chính xác 99,91%. ” Để thực hiện điều này, các nhà nghiên cứu đã có quyền truy cập vật lý vào con chip để thăm dò và chạy các mô hình khác. Họ cũng làm việc trực tiếp với Google để giúp công ty xác định mức độ chip của họ có thể bị tấn công.
Kurian suy đoán rằng việc chụp các mô hình chạy trên điện thoại thông minh chẳng hạn cũng có thể thực hiện được – nhưng thiết kế siêu nhỏ gọn của chúng vốn sẽ khiến việc theo dõi tín hiệu điện từ trở nên khó khăn hơn.
Mehmet Sencan, nhà nghiên cứu bảo mật tại tổ chức phi lợi nhuận Atlas Computing về tiêu chuẩn AI, nói với Gizmodo: “Các cuộc tấn công kênh bên trên các thiết bị biên không có gì mới. Nhưng kỹ thuật đặc biệt này “trích xuất toàn bộ siêu tham số của kiến trúc mô hình là rất quan trọng”. Bởi vì phần cứng AI “thực hiện suy luận ở dạng văn bản gốc”, Sencan giải thích, “bất kỳ ai triển khai mô hình của họ ở biên hoặc trong bất kỳ máy chủ nào không được bảo mật về mặt vật lý sẽ phải cho rằng kiến trúc của họ có thể được trích xuất thông qua việc thăm dò mở rộng”.
