Modele sztucznej inteligencji mogą być zaskakująco podatne na kradzież poprzez wykrywanie ich sygnatur elektromagnetycznych. Naukowcy z Uniwersytetu Stanowego Karoliny Północnej zwrócili uwagę na tę metodę w nowej publikacji, choć podkreślili, że nie zachęcają do ataków na sieci neuronowe. Używając sondy elektromagnetycznej, kilku wstępnie wytrenowanych otwartoźródłowych modeli AI i Google Edge TPU, analizowali emisje elektromagnetyczne podczas pracy czipu TPU. Ashley Kurian, główny autor badania i doktorantka w NC State, wyjaśniła na łamach Gizmodo: „Budowa i trenowanie sieci neuronowej jest kosztowne. Wymaga znaczących nakładów czasu i zasobów obliczeniowych - to własność intelektualna firmy.

Na przykład, ChatGPT używa miliardów parametrów, które są kluczowymi komponentami. Jeśli ktoś to ukradnie, faktycznie posiada ChatGPT bez ponoszenia kosztów i może nawet go sprzedać. ” Kradzież jest poważnym problemem w AI, często z powodu wykorzystywania przez twórców modeli trenowanych na chronionych prawami autorskimi dziełach bez zgody autorów, co prowadzi do procesów sądowych i narzędzi dla artystów do przeciwdziałania temu poprzez „zatruwanie” generatorów sztuki. Kurian wyjaśniła, że dane z czujnika elektromagnetycznego dostarczają „sygnatury” zachowania przetwarzania AI, co jest stosunkowo proste. Aby odkryć hiperparametry modelu — konkretne jego architekturę i cechy definiujące — porównali dane elektromagnetyczne z celu z danymi z innych modeli AI uruchamianych na tym samym typie czipu. Poprzez to porównanie "określili architekturę i specyficzne cechy, znane jako detale warstw, niezbędne do replikacji modelu AI, " powiedziała Kurian, osiągając "dokładność 99, 91%. " Przeprowadzali to, mając fizyczny dostęp do czipu w celu sondowania i uruchamiania modeli, pracując we współpracy z Google w celu oceny podatności ich czipów. Kurian zasugerowała, że przechwytywanie modelów na smartfonach mogłoby być możliwe, choć ich kompaktowy design komplikuje monitorowanie sygnałów elektromagnetycznych. Mehmet Sencan, badacz bezpieczeństwa z organizacji non-profit Atlas Computing zajmującej się standardami AI, zauważył na łamach Gizmodo, że „ataki kanałowe na urządzenia krawędziowe nie są nowe. ” Jednak metoda ekstrakcji całej architektury hiperparametrów modelu jest godna uwagi. Sencan wyjaśnił, że ponieważ sprzęt AI „przeprowadza wnioskowanie w jawnym tekście, ” każdy model wdrożony na niezabezpieczonych urządzeniach krawędziowych lub serwerach jest podatny na wyodrębnienie jego architektury poprzez szczegółowe sondowanie.