Ученые из Университета штата Северная Каролина обнаружили первую аппаратную уязвимость, которая позволяет атакующим получать данные, на которых обучались системы искусственного интеллекта (ИИ). Новый метод атаки получил название GATEBLEED.
Уязвимость связана с ускорителями машинного обучения, которые повышают производительность ИИ-моделей и снижают энергопотребление. Атака работает через наблюдение за временем выполнения функций на аппаратуре и не требует прямого доступа к памяти. Это позволяет определять, использовались ли конкретные данные для обучения системы, и раскрывать другие приватные сведения.
Особенность GATEBLEED в том, что она использует явления, связанные с энергосбережением на чипах, называемые power gating. Разные участки ускорителя включаются или выключаются в зависимости от нагрузки, что создаёт измеримые колебания времени работы и становится каналом утечки данных. Уязвимость усиливается при использовании глубоких нейросетей и сложных архитектур типа Mixtures of Experts.
Традиционные методы защиты, основанные на шифровании или контроле мощности, здесь неэффективны. Исправление проблемы требует аппаратного редизайна, что займёт годы, а временные меры снижают производительность и увеличивают энергопотребление.
Источник: www.ferra.ru