Araştırmacılar, yapay zeka (YZ) modelini, modelin çalıştığı cihaza sızmadan çalabilme yeteneğini gösterdiler. Bu teknik yenilikçi, çünkü bilgisayar korsanının yazılım veya YZ’yi destekleyen mimari hakkında önceden bir bilgiye sahip olmasına gerek kalmadan çalışıyor.

“YZ modelleri değerlidir, bunların çalınmasını istemiyoruz” diyor çalışmanın ortak yazarı ve Kuzey Karolina Eyalet Üniversite'sinde elektrik ve bilgisayar mühendisliği alanında doçent olan Aydin Aysu. “YZ modellerini oluşturmak pahalıdır ve önemli ölçüde hesaplama kaynağı gerektirir. Ama bundan da önemlisi, bir model sızdırıldığında ya da çalındığında, model daha savunmasız hale gelir çünkü üçüncü şahıslar modeli inceleyerek zayıf noktaları belirleyebilir.”

“Çalışmada belirttiğimiz gibi, YZ ve makine öğrenimi cihazlarına yönelik model çalma saldırıları fikri mülkiyet haklarını ihlal eder, modelin geliştiricilerine rekabet avantajını kaybettirir ve modelin davranışına gömülü hassas verileri açığa çıkarabilir,” diyor çalışmanın birinci yazarı ve Kuzey Karolina Eyalet Üniversite’sinde doktora öğrencisi olan Ashley Kurian.

Bu çalışmada araştırmacılar, Google Edge Tensor İşleme Ünitesi (TPU) üzerinde çalışan bir YZ modelinin hiperparametrelerini çaldılar.

“Pratik anlamda bu, modelin mimarisini ve katman detayları olarak bilinen özelliklerini belirleyebildiğimiz anlamına geliyor, yani YZ modelinin bir kopyasını yapmamız için gerekli olan bilgileri elde ettik,” diyor Kurian.

“Mimariyi ve katman detaylarını çaldığımız için YZ’nin özelliklerini yeniden oluşturabildik,” diyor Dr. Aysu. “Bu bilgileri kullanarak işlevsel YZ modelini, ya da o modele çok yakın bir benzerini yeniden oluşturduk.”

Araştırmacılar, bu gösterimi yapmak için Google Edge TPU’yu kullandılar çünkü bu, uç cihazlarda YZ modellerini çalıştırmak için yaygın olarak kullanılan ticari bir çip – yani, veritabanı uygulamalarında kullanılan YZ sistemlerinin aksine, saha kullanıcıları tarafından kullanılan bir cihaz.

“Bu teknik, birçok farklı cihazda çalışan YZ modellerini çalmak için kullanılabilir,” diyor Kurian. “Bilgisayar korsanı, çalmak istediği cihazı biliyor, cihazı YZ modeli çalışırken erişebiliyor ve aynı marka ve modelden başka bir cihaza erişimi varsa, bu teknik işe yarayacaktır.”

Bu gösterimde kullanılan teknik, elektromanyetik sinyalleri izlemeye dayanıyor. Özellikle, araştırmacılar bir TPU çipinin üzerine bir elektromanyetik prob yerleştirdiler. Prob, YZ işleme sırasında TPU’nun elektromanyetik alanındaki değişikliklerle ilgili gerçek zamanlı veri sağlıyor.

“Algılayıcıdan gelen elektromanyetik veriler, bize YZ işleme davranışının bir ‘imzasını’ veriyor,” diyor Kurian. “Bu, işin kolay kısmı.”

Araştırmacılar, YZ modelinin mimarisi ve katman detaylarını belirlemek için modelin elektromanyetik imzasını, aynı cihazda yapılan başka YZ model imzalarının bulunduğu bir veritabanıyla karşılaştırıyorlar – bu durumda başka bir Google Edge TPU çipi.

Araştırmacılar, daha önce imzasını bilmedikleri bir YZ modelini nasıl ‘çalabiliyorlar’? İşte burada işler zorlaşıyor.

Araştırmacıların, hedeflenen YZ modelindeki katman sayısını tahmin etmelerini sağlayan bir teknikleri var. Katmanlar, YZ modelinin gerçekleştirdiği bir dizi ardışık işlemdir ve her işlemin sonucu bir sonraki işlemi bilgilendirir. Çoğu YZ modelinde 50-242 arası katman bulunur.

“Bir modelin tüm elektromanyetik imzasını yeniden oluşturmaya çalışmak yerine, ki bu hesaplama açısından elverişli değil, biz bunu katman katman yapıyoruz,” diyor Kurian. “Yaklaşık 5.000 ilk katman imzası içeren bir veritabanımız var. Yani çaldığımız ilk katman imzasını veritabanımızdaki ilk katman imzalarıyla karşılaştırıyoruz ve hangisinin en çok eşleştiğini görüyoruz.

“İlk katmanı tersine mühendislikle çözdüğümüzde, bu bize ikinci katmanı hangi 5.000 katman imzasıyla karşılaştıracağımızı söylüyor,” diyor Kurian. “Bu süreç, tüm katmanları tersine mühendislikle çözene ve etkili bir şekilde YZ modelinin bir kopyasını yapana kadar devam ediyor.”

Gösterimlerinde, araştırmacılar bu tekniğin çalınan bir YZ modelini %99.91 doğrulukla yeniden oluşturabildiğini gösterdiler.

“Bu güvenlik açığını tanımlayıp gösterdiğimize göre, bir sonraki adım buna karşı koruma sağlamak için karşı önlemler geliştirmek ve uygulamak,” diyor Dr. Aysu.

Makale, “TPUXtract: An Exhaustive Hyperparameter Extraction Framework” (TPUXtract: Kapsamlı Bir Hiperparametre Çıkarma Çerçevesi), Kriptografik Donanım ve Gömülü Sistemler Konferansı tarafından çevrimiçi olarak yayınlandı. Makale, Kuzey Karolina Eyalet Üniversitesi’den mezun bir eski doktora öğrencisi olan Anuj Dubey ve yine Kuzey Karolina Eyalet Üniversitesi’den mezun bir eski yüksek lisans öğrencisi olan Ferhat Yaman tarafından ortak yazılmıştır. Çalışma, 1943245 numaralı hibe ile Amerikan Ulusal Bilim Vakfı (NSF) tarafından desteklenmiştir.