Queste spese sono fuori dalla portata della maggior parte degli attori economici, il che evidenzia il notevole valore di un modello pre-addestrato, sia in termini di investimento iniziale che di proprietà intellettuale. Pertanto, il furto di un simile modello, attraverso l’esfiltrazione della sua architettura e dei suoi iperparametri, rappresenta un bottino di inestimabile valore. Ciò è particolarmente vero per i sistemi installati all’edge (edge computing), che sono più facilmente accessibili fisicamente.
Lettura della radiazione elettromagnetica…
I ricercatori dell’Università della Carolina del Sud negli Stati Uniti hanno appena dimostrato che è possibile rubare un modello di intelligenza artificiale senza hackerare – digitalmente (ndr) – il dispositivo su cui funzionava il modello. Questo grazie a una tecnica unica che funziona anche quando il ladro non ha una conoscenza preliminare del software o dell’architettura che supporta l’intelligenza artificiale. Basta, dicono, sfruttare, tramite una sonda elettromagnetica, le misurazioni dei canali secondari per estrarre i dettagli del modello senza alcuna conoscenza delle strutture interne, cioè delle scatole nere che sono gli acceleratori in periferia .
Questi attacchi possono essere classificati in due categorie: attacchi di furto di iperparametri in cui l’avversario cerca di conoscere l’architettura dei modelli addestrati come i tipi di livello e le relative configurazioni, e attacchi di furto di parametri in cui l’avversario cerca di conoscere i pesi addestrati e i valori di bias. I valori di peso e bias addestrati sono i parametri interni di un modello di machine learning che determinano il funzionamento della rete neurale
elabora le informazioni.
…per estrarre gli iperparametri
Infatti, le unità di elaborazione tensore ai margini della rete, come i Google Edge TPU, consentono oggi di effettuare inferenze localmente, evitando così l’uso sistematico del cloud. Questo fenomeno si inserisce in un contesto di rapida crescita del mercato dell’edge computing, guidato dalla crescente domanda di dispositivi connessi autonomi. Google, dal canto suo, è posizionata strategicamente in questo mercato, avendo introdotto TPU appositamente progettati per accelerare l’inferenza AA all’edge, con l’obiettivo di ridurre la latenza, limitare il consumo energetico e proteggere (in teoria) la proprietà intellettuale dei modelli implementati.
Lo studio “TPUXtract” evidenzia una vulnerabilità senza precedenti che colpisce gli acceleratori hardware commerciali di Google. Mentre la maggior parte del lavoro precedente si concentrava sui microcontrollori, TPUXtract ha esaminato specificamente i TPU di Google, noti per le loro prestazioni e l’ampia adozione nelle soluzioni di machine learning sul mercato. Gli autori dimostrano che, grazie allo sfruttamento dei canali ausiliari elettromagnetici, è possibile estrarre tutti gli iperparametri di una rete neurale, che si tratti del tipo di strati, della dimensione dei filtri, del numero di nodi o anche dei parametri di riempimento.
Identificazione mediante raccolta di segnali elettromagnetici
L’attacco inizia posizionando una sonda non invasiva vicino al dispositivo bersaglio (un Google Edge TPU). Questo cattura le emissioni elettromagnetiche prodotte dall’elaborazione dei dati nei diversi core di calcolo del TPU. Il flusso elettromagnetico, complesso e rumoroso, viene registrato durante l’inferenza del modello preso di mira. Questi segnali elettromagnetici grezzi vengono poi segmentati in modo da isolare le porzioni corrispondenti a specifiche operazioni di rete. Gli autori dello studio spiegano che ogni tipo di strato (ad esempio, uno strato di convoluzione, uno strato denso o un’operazione di “aggiunta”/”concatenazione”) genera una firma elettromagnetica distinta. Per raggiungere questo livello di precisione, TPUXtract utilizza tecniche di correlazione del segnale con modelli (modelli di riferimento) per identificare con precisione dove inizia e finisce uno strato nella traccia.
A differenza degli approcci precedenti che si basavano su modelli di machine learning statici e preaddestrati, TPUXtract opta per la generazione di modelli online. Questo approccio, che non dipende da un particolare set di dati, consente di adattare il processo di esfiltrazione a modelli ancora sconosciuti. I modelli vengono creati dalle prime inferenze registrate, quindi utilizzati per riconoscere ed estrarre caratteristiche dai livelli successivi, anche se il modello varia.
Identificazione accurata della configurazione dei livelli
Una volta definiti i template, ogni layer analizzato svela i suoi segreti: tipologia (convoluzione, pooling, denso, ecc.), dimensione del filtro, numero di canali, funzione di attivazione, operazioni di riempimento, e così via. Secondo i dati annunciati nello studio, questo metodo raggiunge una precisione eccezionale del 99,91% su un ampio insieme di modelli.
Gli autori di TPUXtract hanno dimostrato l’efficacia del loro metodo anche su modelli non lineari, integrando layer di tipo “add” o “concatenate”. Questi livelli, spesso presenti nelle architetture avanzate come Inception V3 o ResNet-50, riflettono la complessità delle reti neurali implementate nelle applicazioni di produzione. TPUXtract dimostra quindi che il suo approccio non si limita a semplici architetture sequenziali.
Validazione su modelli reali
I ricercatori hanno testato il loro framework su modelli ampiamente utilizzati nel settore, tra cui MobileNet V3, Inception V3 e ResNet-50. Queste reti neurali, inizialmente sviluppate da giganti del settore (come Google per MobileNet o Microsoft e altri per ResNet), sono comunemente integrate in applicazioni di riconoscimento di immagini, analisi video o rilevamento di oggetti. I risultati ottenuti da TPUXtract confermano la capacità dell’aggressore di estrarre con successo gli iperparametri, evidenziando una profonda vulnerabilità negli acceleratori ML commerciali.
Di fronte a questa minaccia, gli autori di TPUXtract propongono diverse contromisure. Suggeriscono, ad esempio, l’introduzione di operazioni fittizie per confondere l’aggressore, la riorganizzazione dinamica degli strati per destabilizzare la generazione di modelli, o l’iniezione di rumore elettromagnetico competitivo per mascherare le firme caratteristiche di ogni strato. Tutti questi approcci mirano a complicare notevolmente il lavoro di estrazione e ad aumentare i costi, i tempi e la difficoltà tecnica dell’attacco.
Protezione integrata negli acceleratori ML
In un contesto in cui i dispositivi embedded si evolvono rapidamente e in cui i modelli di machine learning stanno penetrando in diversi settori (trasporti, sanità, smart city, telecomunicazioni, ecc.), la sicurezza deve essere progettata fin dall’inizio, non aggiunta a posteriori. Lo studio TPUXtract, grazie al suo approccio metodico e alla sua applicazione a un campione di modelli rappresentativi, richiede una profonda riflessione sulla robustezza degli acceleratori ML utilizzati nel mondo reale.
Con la crescita della domanda di dispositivi intelligenti, i giganti della tecnologia come Google, già saldamente affermati sul mercato, dovranno incorporare strategie di sicurezza sempre più sofisticate, non solo per garantire la longevità delle loro soluzioni hardware, ma anche per preservare la fiducia di utenti e produttori. in un settore in forte espansione. Inoltre, la combinazione di prestazioni ottimizzate, basso consumo energetico e protezione avanzata del modello è essenziale.