¿Cómo “secuestrar” cualquier red neuronal en 24 horas? TPUXtract revela todos los secretos
La radiación EM se está convirtiendo en la principal arma de los ciberespías.
Científicos de la Universidad de Carolina del Norte han desarrollado un método llamado « TPUXtract », que permite reconstruir la estructura de redes neuronales mediante el análisis de señales electromagnéticas (EM) emitidas por el procesador durante su funcionamiento. Este enfoque permite a los ciberdelincuentes o competidores copiar de manera efectiva modelos de inteligencia artificial y sus datos.
El método se basa en la medición de señales EM emitidas por el Google Edge TPU, un procesador especializado para tareas de aprendizaje automático. Los investigadores utilizaron equipos costosos y la técnica de «creación de patrones en línea» para reconstruir con una precisión del 99,91 % los hiperparámetros de una red neuronal convolucional. Estos son los ajustes que determinan la arquitectura y el comportamiento del modelo.
El experimento se llevó a cabo en la Google Coral Dev Board, un ordenador de placa única diseñado para trabajar con inteligencia artificial en dispositivos del Internet de las cosas, equipos médicos y sistemas automotrices. Los investigadores capturaron señales EM emitidas por el procesador mientras procesaba datos y las usaron para crear patrones que describen cada capa de la red.
El análisis se realizó en varias etapas. Primero, los científicos identificaron las características que indicaban el inicio del procesamiento de datos y luego reconstruyeron las firmas de las capas individuales del modelo. Usando miles de simulaciones de hiperparámetros, compararon estos con los datos reales y, paso a paso, recrearon la estructura de la red.
La reconstrucción de una red neuronal, cuyo desarrollo puede llevar semanas o meses, tomó a los investigadores solo un día. Sin embargo, el proceso requiere experiencia técnica y equipos costosos, lo que por ahora limita la aplicación del método. No obstante, según los participantes del proyecto, las empresas competidoras podrían adaptar esta tecnología para ahorrar recursos y evitar largos desarrollos.
Además del robo de propiedad intelectual, el método «TPUXtract» podría ser utilizado para identificar vulnerabilidades en modelos de inteligencia artificial populares. Más aún, la combinación de este método con otras técnicas de recuperación de parámetros permite copiar completamente la IA, incluidas sus configuraciones y estructura.
Para protegerse contra este tipo de ataques, los científicos proponen agregar «ruido» al proceso de análisis de datos, por ejemplo, mediante el uso de operaciones ficticias o alterando aleatoriamente la secuencia de capas durante el procesamiento. Esto dificultaría el análisis y haría que la recreación de modelos sea más laboriosa.
Las huellas digitales son tu debilidad, y los hackers lo saben