Cientistas enganam modelo de IA para revelar seus segredos

Tudo o que foi necessário para fazer um Google Edge TPU desistir dos hiperparâmetros do modelo foi um hardware específico, uma nova técnica de ataque … e vários dias

Cientistas da computação da North Carolina State University desenvolveram uma maneira de copiar modelos de IA executados em unidades de processamento tensor (TPUs) do Google Edge, usadas em telefones Google Pixel e aceleradores de aprendizado de máquina de terceiros.

A técnica, desenvolvida pelos pesquisadores da NC State Ashley Kurian, Anuj Dubey, Ferhat Yaman e Aydin Aysu, é um ataque de canal lateral que mede a intensidade eletromagnética do uso do modelo de IA (inferência) ao ser executado em TPUs e explora essas medições para inferir hiperparâmetros do modelo.

Os hiperparâmetros do modelo de aprendizado de máquina referem-se a valores definidos antes do processo de treinamento que afetam o treinamento do modelo – a taxa de aprendizado, o tamanho do lote ou o tamanho do pool. Eles são distintos dos parâmetros do modelo – como pesos – que são internos ao modelo e são aprendidos durante o treinamento.

Um adversário com ambos pode reproduzir um modelo de IA a um custo muito menor do que o incorrido durante o processo de treinamento original – algo que os desenvolvedores que gastam bilhões na construção de modelos de IA podem preferir evitar. Já existe uma variedade de técnicas de extração de parâmetros.

“Um ataque de roubo de hiperparâmetros seguido de extração de parâmetros pode criar um modelo substituto de alta fidelidade com as informações extraídas para imitar o modelo da vítima”, explicam os pesquisadores em seu artigo, “TPUXtract: An Exhaustive Hyperparameter Extraction Framework”.

Embora tenha havido ataques anteriores de hiperparâmetros limitados, os pesquisadores afirmam que seu ataque é o primeiro a realizar uma extração abrangente de hiperparâmetros e o primeiro ataque de roubo de modelo direcionado ao Google Edge TPU.

“Como roubamos a arquitetura e os detalhes da camada, fomos capazes de recriar os recursos de alto nível da IA”, explicou Aydin Aysu, coautor do artigo e professor associado da NC State, em um comunicado. “Em seguida, usamos essas informações para recriar o modelo funcional de IA, ou um substituto muito próximo desse modelo.”

O cenário de ataque pressupõe que o adversário tenha acesso ao dispositivo – um Coral Dev Board com um Google Edge TPU – durante a inferência e possa realizar medições eletromagnéticas usando hardware Riscure (icWaves, Transceptor, sonda EM de alta sensibilidade) e um osciloscópio PicoScope. O conhecimento do ambiente de implantação de software (TF Lite para Edge TPU) também é assumido. No entanto, os detalhes sobre a arquitetura e o conjunto de instruções do Edge TPU não são necessários.

A abordagem dos pesquisadores envolve extrair informações sobre cada camada de rede neural sequencialmente e, em seguida, alimentar os hiperparâmetros extraídos para cada camada de volta à estrutura de extração de camadas. Isso supera problemas com esforços anteriores que exigiam um ataque de força bruta impraticável contra todo o modelo, mas produziam apenas alguns dos hiperparâmetros do modelo.

De acordo com os pesquisadores, sua abordagem é capaz de recriar um modelo com 99,91% de precisão. O processo – testado em modelos como MobileNet V3, Inception V3 e ResNet-50 – leva cerca de três horas por camada. Os modelos citados no artigo variam de 28 a 242 camadas.

“Nossa pesquisa demonstra que um adversário pode efetivamente fazer engenharia reversa dos hiperparâmetros de uma rede neural, observando suas emanações EM durante a inferência, mesmo em uma configuração de caixa preta”, afirmam os autores em seu artigo. “A cobertura e a precisão de nossa abordagem levantam preocupações significativas sobre a vulnerabilidade de aceleradores comerciais como o Edge TPU ao roubo de modelos em vários cenários do mundo real.”

O Google está ciente das descobertas dos pesquisadores e se recusou a comentar o registro. O Register entende, por meio de conversas com pessoas tímidas, que uma das razões pelas quais o Coral Dev Board foi escolhido é que ele não implementa criptografia de memória. 

Fonte: The Register