Защита ИИ от криптоаналитических атак: новый метод
Исследователи представили первый рабочий механизм защиты от криптоаналитических атак, направленных на извлечение параметров искусственного интеллекта. Эти атаки позволяют злоумышленникам скопировать модель ИИ, что представляет собой кражу ценной интеллектуальной собственности.
«Системы ИИ являются ценной интеллектуальной собственностью, а атаки криптоаналитического извлечения параметров — наиболее эффективный способ «украсть» эту собственность. До сих пор не существовало способа защититься от них. Наша техника эффективно защищает от этих атак», — заявляет Эшли Куриан, аспирант Университета штата Северная Каролина и первый автор исследования.
«Криптоаналитические атаки уже происходят, и они становятся все более частыми и эффективными», — отмечает Айдин Айсу, соответствующий автор исследования и доцент NC State. «Нам нужно внедрять механизмы защиты сейчас, потому что после извлечения параметров модели ИИ это будет слишком поздно».
Суть проблемы заключается в криптоаналитических атаках на извлечение параметров. Параметры — это ключевая информация, описывающая модель ИИ и определяющая ее способность выполнять задачи. Криптоаналитические атаки используют чисто математический подход для определения этих параметров, позволяя третьим лицам воссоздать систему ИИ. По словам Айсу, такие атаки пока эффективны в основном против нейронных сетей, которые составляют основу многих коммерческих ИИ-систем, включая большие языковые модели.
Как защититься от математической атаки?
Новый механизм защиты основан на ключевом наблюдении исследователей. Они обнаружили, что криптоаналитические атаки фокусируются на различиях между «нейронами» — базовыми строительными блоками нейронной сети. Чем больше эти различия, тем успешнее атака. Предложенный метод заключается в обучении нейронной сети таким образом, чтобы нейроны в одном слое становились максимально похожими друг на друга. Этого можно достичь как в одном, так и в нескольких слоях, применяя технику ко всем или части нейронов.
«Этот подход создает «барьер сходства», который затрудняет проведение атаки», — поясняет Айсу. «Атака фактически не имеет пути вперед, однако модель продолжает нормально функционировать в плане выполнения своих задач».
В ходе тестирования было установлено, что точность моделей, использующих предложенный механизм защиты, изменилась менее чем на 1%. При этом эффективность защиты оказалась высокой: модели, которые ранее могли быть взломаны за четыре часа, после внедрения защиты не поддавались криптоаналитическим атакам даже в течение нескольких дней.
Исследователи также разработали теоретическую основу для количественной оценки вероятности успеха криптоаналитических атак, что позволяет оценить защищенность системы без проведения длительных и дорогостоящих тестов.
«Мы уверены, что этот механизм будет использоваться для защиты систем ИИ от подобных атак», — говорит Куриан. «Мы открыты для сотрудничества с индустриальными партнерами». Айсу добавляет, что «хакинг и безопасность находятся в постоянном противостоянии», и выражает надежду на дальнейшее финансирование исследований в этой области.
Работа «Train to Defend: First Defense Against Cryptanalytic Neural Network Parameter Extraction Attacks» будет представлена на конференции NeurIPS в Сан-Диего.
Комментарии
Комментариев пока нет.