Nueva amenaza de capa física para los modelos de IA

Un equipo de investigación liderado por científicos de KAIST ha descubierto una nueva forma de robar modelos de inteligencia artificial sin violar un sistema informático. El método se basa en la captura de las pequeñas señales electromagnéticas que las GPU emiten mientras procesan cargas de trabajo de IA. Al analizar estas emisiones, el equipo pudo inferir la estructura interna del modelo, incluyendo configuraciones de capas y opciones de parámetros.

Cómo funciona ModelSpy

Los investigadores construyeron un dispositivo que llamaron ModelSpy, que consiste en una pequeña antena que puede ser ocultada dentro de una bolsa. La antena recoge trazas electromagnéticas débiles producidas por la GPU mientras realiza cálculos. Estas trazas son sutiles pero siguen patrones que corresponden a la arquitectura de la red neuronal que se ejecuta. El equipo recopiló datos de varios tipos de GPU y demostró que la antena podía operar desde una distancia de hasta seis metros, incluso a través de paredes.

Precisión y alcance de la extracción

Al procesar las señales capturadas, los investigadores pudieron reconstruir detalles clave del diseño del modelo de IA. Las pruebas mostraron que las estructuras core podrían ser identificadas con una precisión de hasta el 97,6 por ciento. El enfoque no requiere contacto físico con el sistema objetivo, ni depende de exploits de software tradicionales o acceso a la red. En su lugar, trata la computación en sí como un canal lateral que inadvertidamente revela información sensible.

Implicaciones para la industria

Los hallazgos plantean preocupaciones de seguridad inmediatas para las organizaciones que dependen de los modelos de IA como activos propiedad. Muchas empresas consideran la arquitectura de sus modelos como propiedad intelectual core, y la capacidad de extraer esta información de forma remota podría representar un riesgo comercial directo. Las defensas existentes que se centran en el endurecimiento de software o la segmentación de red pueden ser insuficientes porque la vulnerabilidad se origina en emisiones de hardware.

Contra-medidas potenciales

Los autores del estudio también sugirieron formas de mitigar el riesgo. Agregar ruido electromagnético al entorno y ajustar cómo se programan los cálculos puede hacer que los patrones emitidos sean más difíciles de interpretar. Estas recomendaciones apuntan a un cambio más amplio en la seguridad de la IA, donde los ajustes a nivel de hardware son tan importantes como las actualizaciones de software.

Reconocimiento y perspectiva futura

La investigación se presentó en el Simposio NDSS, lo que indica que la comunidad de seguridad considera la amenaza seriamente. A medida que los sistemas de IA se vuelven más comunes, la posibilidad de ataques de side-channel como ModelSpy puede crecer, enfatizando la necesidad de estrategias de protección comprehensivas que aborden tanto los aspectos digitales como físicos de la computación.

Usado: News Factory APP - descubrimiento de noticias y automatización - ChatGPT para Empresas