Araştırmacılar Yapay Zeka Modellerini Çalmak İçin Yeni Bir Teknik Gösterdi
en-GBde-DEes-ESfr-FR

Araştırmacılar Yapay Zeka Modellerini Çalmak İçin Yeni Bir Teknik Gösterdi

12/12/2024 North Carolina State University
Araştırmacılar, yapay zeka (YZ) modelini, modelin çalıştığı cihaza sızmadan çalabilme yeteneğini gösterdiler. Bu teknik yenilikçi, çünkü bilgisayar korsanının yazılım veya YZ’yi destekleyen mimari hakkında önceden bir bilgiye sahip olmasına gerek kalmadan çalışıyor.

“YZ modelleri değerlidir, bunların çalınmasını istemiyoruz” diyor çalışmanın ortak yazarı ve Kuzey Karolina Eyalet Üniversite'sinde elektrik ve bilgisayar mühendisliği alanında doçent olan Aydin Aysu. “YZ modellerini oluşturmak pahalıdır ve önemli ölçüde hesaplama kaynağı gerektirir. Ama bundan da önemlisi, bir model sızdırıldığında ya da çalındığında, model daha savunmasız hale gelir çünkü üçüncü şahıslar modeli inceleyerek zayıf noktaları belirleyebilir.”

“Çalışmada belirttiğimiz gibi, YZ ve makine öğrenimi cihazlarına yönelik model çalma saldırıları fikri mülkiyet haklarını ihlal eder, modelin geliştiricilerine rekabet avantajını kaybettirir ve modelin davranışına gömülü hassas verileri açığa çıkarabilir,” diyor çalışmanın birinci yazarı ve Kuzey Karolina Eyalet Üniversite’sinde doktora öğrencisi olan Ashley Kurian.

Bu çalışmada araştırmacılar, Google Edge Tensor İşleme Ünitesi (TPU) üzerinde çalışan bir YZ modelinin hiperparametrelerini çaldılar.

“Pratik anlamda bu, modelin mimarisini ve katman detayları olarak bilinen özelliklerini belirleyebildiğimiz anlamına geliyor, yani YZ modelinin bir kopyasını yapmamız için gerekli olan bilgileri elde ettik,” diyor Kurian.

“Mimariyi ve katman detaylarını çaldığımız için YZ’nin özelliklerini yeniden oluşturabildik,” diyor Dr. Aysu. “Bu bilgileri kullanarak işlevsel YZ modelini, ya da o modele çok yakın bir benzerini yeniden oluşturduk.”

Araştırmacılar, bu gösterimi yapmak için Google Edge TPU’yu kullandılar çünkü bu, uç cihazlarda YZ modellerini çalıştırmak için yaygın olarak kullanılan ticari bir çip – yani, veritabanı uygulamalarında kullanılan YZ sistemlerinin aksine, saha kullanıcıları tarafından kullanılan bir cihaz.

“Bu teknik, birçok farklı cihazda çalışan YZ modellerini çalmak için kullanılabilir,” diyor Kurian. “Bilgisayar korsanı, çalmak istediği cihazı biliyor, cihazı YZ modeli çalışırken erişebiliyor ve aynı marka ve modelden başka bir cihaza erişimi varsa, bu teknik işe yarayacaktır.”

Bu gösterimde kullanılan teknik, elektromanyetik sinyalleri izlemeye dayanıyor. Özellikle, araştırmacılar bir TPU çipinin üzerine bir elektromanyetik prob yerleştirdiler. Prob, YZ işleme sırasında TPU’nun elektromanyetik alanındaki değişikliklerle ilgili gerçek zamanlı veri sağlıyor.

“Algılayıcıdan gelen elektromanyetik veriler, bize YZ işleme davranışının bir ‘imzasını’ veriyor,” diyor Kurian. “Bu, işin kolay kısmı.”

Araştırmacılar, YZ modelinin mimarisi ve katman detaylarını belirlemek için modelin elektromanyetik imzasını, aynı cihazda yapılan başka YZ model imzalarının bulunduğu bir veritabanıyla karşılaştırıyorlar – bu durumda başka bir Google Edge TPU çipi.

Araştırmacılar, daha önce imzasını bilmedikleri bir YZ modelini nasıl ‘çalabiliyorlar’? İşte burada işler zorlaşıyor.

Araştırmacıların, hedeflenen YZ modelindeki katman sayısını tahmin etmelerini sağlayan bir teknikleri var. Katmanlar, YZ modelinin gerçekleştirdiği bir dizi ardışık işlemdir ve her işlemin sonucu bir sonraki işlemi bilgilendirir. Çoğu YZ modelinde 50-242 arası katman bulunur.

“Bir modelin tüm elektromanyetik imzasını yeniden oluşturmaya çalışmak yerine, ki bu hesaplama açısından elverişli değil, biz bunu katman katman yapıyoruz,” diyor Kurian. “Yaklaşık 5.000 ilk katman imzası içeren bir veritabanımız var. Yani çaldığımız ilk katman imzasını veritabanımızdaki ilk katman imzalarıyla karşılaştırıyoruz ve hangisinin en çok eşleştiğini görüyoruz.

“İlk katmanı tersine mühendislikle çözdüğümüzde, bu bize ikinci katmanı hangi 5.000 katman imzasıyla karşılaştıracağımızı söylüyor,” diyor Kurian. “Bu süreç, tüm katmanları tersine mühendislikle çözene ve etkili bir şekilde YZ modelinin bir kopyasını yapana kadar devam ediyor.”

Gösterimlerinde, araştırmacılar bu tekniğin çalınan bir YZ modelini %99.91 doğrulukla yeniden oluşturabildiğini gösterdiler.

“Bu güvenlik açığını tanımlayıp gösterdiğimize göre, bir sonraki adım buna karşı koruma sağlamak için karşı önlemler geliştirmek ve uygulamak,” diyor Dr. Aysu.

Makale, “TPUXtract: An Exhaustive Hyperparameter Extraction Framework” (TPUXtract: Kapsamlı Bir Hiperparametre Çıkarma Çerçevesi), Kriptografik Donanım ve Gömülü Sistemler Konferansı tarafından çevrimiçi olarak yayınlandı. Makale, Kuzey Karolina Eyalet Üniversitesi’den mezun bir eski doktora öğrencisi olan Anuj Dubey ve yine Kuzey Karolina Eyalet Üniversitesi’den mezun bir eski yüksek lisans öğrencisi olan Ferhat Yaman tarafından ortak yazılmıştır. Çalışma, 1943245 numaralı hibe ile Amerikan Ulusal Bilim Vakfı (NSF) tarafından desteklenmiştir.
https://news.ncsu.edu/2024/12/new-way-to-steal-ai-models/
“TPUXtract: An Exhaustive Hyperparameter Extraction Framework”

Authors: Ashley Kurian, Anuj Dubey, Ferhat Yaman and Aydin Aysu, North Carolina State University

Published: Dec. 12, 2024, IACR Transactions on Cryptographic Hardware and Embedded Systems

DOI: 10.46586/tches.v2025.i1.78-103
12/12/2024 North Carolina State University
Regions: North America, United States
Keywords: Applied science, Artificial Intelligence, Computing, Technology, Business, Defence & security, Electronic hardware & software

Disclaimer: AlphaGalileo is not responsible for the accuracy of news releases posted to AlphaGalileo by contributing institutions or for the use of any information through the AlphaGalileo system.

Testimonials

For well over a decade, in my capacity as a researcher, broadcaster, and producer, I have relied heavily on Alphagalileo.
All of my work trips have been planned around stories that I've found on this site.
The under embargo section allows us to plan ahead and the news releases enable us to find key experts.
Going through the tailored daily updates is the best way to start the day. It's such a critical service for me and many of my colleagues.
Koula Bouloukos, Senior manager, Editorial & Production Underknown
We have used AlphaGalileo since its foundation but frankly we need it more than ever now to ensure our research news is heard across Europe, Asia and North America. As one of the UK’s leading research universities we want to continue to work with other outstanding researchers in Europe. AlphaGalileo helps us to continue to bring our research story to them and the rest of the world.
Peter Dunn, Director of Press and Media Relations at the University of Warwick
AlphaGalileo has helped us more than double our reach at SciDev.Net. The service has enabled our journalists around the world to reach the mainstream media with articles about the impact of science on people in low- and middle-income countries, leading to big increases in the number of SciDev.Net articles that have been republished.
Ben Deighton, SciDevNet

We Work Closely With...

  • BBC
  • The Times
  • National Geographic
  • The University of Edinburgh
  • University of Cambridge
  • iesResearch
Copyright 2024 by AlphaGalileo Terms Of Use Privacy Statement