Ερευνητές του ινστιτούτου KAIST ανέπτυξαν το ModelSpy, μια μέθοδο που υποκλέπτει μοντέλα τεχνητής νοημοσύνης αναλύοντας ηλεκτρομαγνητικά σήματα από απόσταση.
Το σύστημα ModelSpy αποτελεί την πιο πρόσφατη και ίσως την πιο ανησυχητική απόδειξη ότι η ασφάλεια στην τεχνητή νοημοσύνη (AI) βρίσκεται μπροστά σε πρωτόγνωρες προκλήσεις. Εδώ και αρκετά χρόνια, τα πολύπλοκα συστήματα μηχανικής μάθησης, ιδιαίτερα εκείνα που εφαρμόζονται σε εξαιρετικά ευαίσθητους και κρίσιμους τομείς όπως είναι η προηγμένη αναγνώριση προσώπου (facial recognition) και η αυτόνομη οδήγηση (autonomous driving), αντιμετωπίζονταν από τις εταιρείες ανάπτυξης ως απόλυτα σφραγισμένα μαύρα κουτιά (black boxes).
Η βιομηχανία της τεχνολογίας θεωρούσε ως δεδομένο πως, εφόσον οι κεντρικοί διακομιστές προστατεύονται από ισχυρά, ψηφιακά τείχη προστασίας, τα δεδομένα εκπαίδευσης και η αρχιτεκτονική τους είναι απολύτως ασφαλή από εξωτερικούς εισβολείς. Ωστόσο, μια νέα, ρηξικέλευθη έρευνα έρχεται να ανατρέψει πλήρως αυτή την εδραιωμένη, αλλά μάλλον εφησυχαστική, πεποίθηση.
📍 Η εξέλιξη της είδησης: AI
Μια επιστημονική ομάδα υπό την ηγεσία του ινστιτούτου τεχνολογίας KAIST απέδειξε με τον πιο ξεκάθαρο, πρακτικό τρόπο ότι τα συστήματα τεχνητής νοημοσύνης μπορούν να αναλυθούν, να χαρτογραφηθούν και να αντιγραφούν πλήρως εξ αποστάσεως. Η μέθοδος αυτή δεν απαιτεί καμία απολύτως άμεση, ψηφιακή εισβολή στο δίκτυο, αλλά βασίζεται σε εκπομπές που διαρρέουν φυσικά κατά τη διάρκεια της κανονικής τους λειτουργίας. Με απλά λόγια, η νέα προσέγγιση δεν παραβιάζει τα ψηφιακά συστήματα, αλλά κυριολεκτικά παρακολουθεί και “ακούει” τη λειτουργία τους.
Η λειτουργία του πλευρικού καναλιού και η ανάλυση των σημάτων
Στον πυρήνα αυτής της επαναστατικής τεχνικής βρίσκεται αυτό που στον χώρο της κυβερνοασφάλειας ονομάζεται επίθεση πλευρικού καναλιού (side-channel attack). Αντί οι επιτιθέμενοι να αναζητούν κενά ασφαλείας στον κώδικα του λογισμικού ή να προσπαθούν να σπάσουν τους κωδικούς πρόσβασης, εκμεταλλεύονται τα φυσικά παραπροϊόντα της υπολογιστικής διαδικασίας.
Χρησιμοποιώντας μια σχετικά μικρή και εύκολα αποκρύψιμη κεραία, οι ερευνητές του ινστιτούτου KAIST κατάφεραν να συλλάβουν τα εξαιρετικά αχνά ηλεκτρομαγνητικά ίχνη που εκπέμπουν οι μονάδες επεξεργασίας γραφικών (GPUs) την ώρα που εκτελούν τον βαρύ φόρτο εργασίας της τεχνητής νοημοσύνης. Μπορεί όλο αυτό να ακούγεται σαν ένα υπερβολικό, κινηματογραφικό τέχνασμα ταινίας κατασκοπείας, ωστόσο τα αποτελέσματα των εξαντλητικών δοκιμών είναι απολύτως πραγματικά, επαναλαμβανόμενα και επιστημονικά τεκμηριωμένα. Το σύστημα συλλέγει τη λεπτή ηλεκτρομαγνητική παραγωγή που δημιουργείται καθώς το υλικό (hardware) επεξεργάζεται τεράστιους όγκους δεδομένων για την εξαγωγή συμπερασμάτων.
Αν και αυτά τα σήματα είναι εξαιρετικά ανεπαίσθητα στο περιβάλλον, ακολουθούν πολύ συγκεκριμένα, επαναλαμβανόμενα μοτίβα, τα οποία συνδέονται άμεσα με τον τρόπο που είναι δομημένη η εσωτερική αρχιτεκτονική του εκάστοτε μοντέλου.
Το σύστημα καταγραφής και τα εντυπωσιακά ποσοστά ακρίβειας
Η επιστημονική ομάδα του KAIST ανέλυσε σχολαστικά αυτά τα ηλεκτρομαγνητικά μοτίβα και κατάφερε να συμπεράνει με επιτυχία κρίσιμες, θεμελιώδεις λεπτομέρειες των μοντέλων, συμπεριλαμβανομένων των περίπλοκων ρυθμίσεων των επιπέδων νευρωνικών δικτύων (layer setups) και των επιλογών των παραμέτρων εκπαίδευσης.
Οι εξαντλητικές μετρήσεις έδειξαν ότι οι βασικές δομές των συστημάτων τεχνητής νοημοσύνης μπορούσαν να αναγνωριστούν με ένα ασύλληπτο ποσοστό ακρίβειας, το οποίο άγγιξε το εντυπωσιακό 97,6 τοις εκατό. Αυτό που καθιστά το όλο εγχείρημα ιδιαίτερα ανησυχητικό, όμως, είναι ο ίδιος ο εξοπλισμός και η χαρακτηριστική ευκολία της μεθόδου.
Η κεραία που χρησιμοποιήθηκε χωράει άνετα μέσα σε ένα συνηθισμένο σακίδιο πλάτης, πράγμα που σημαίνει ότι ο επιτιθέμενος δεν χρειάζεται να αποκτήσει ποτέ φυσική πρόσβαση στους χώρους των διακομιστών.
Το σύστημα λειτούργησε άψογα από απόσταση έως και έξι μέτρων, διαπερνώντας ακόμα και στερεά φυσικά εμπόδια όπως οι εσωτερικοί τοίχοι ενός κτιρίου γραφείων, ενώ αποδείχθηκε αποτελεσματικό απέναντι σε πολλαπλούς, διαφορετικούς κατασκευαστικούς τύπους GPUs. Ουσιαστικά, η ίδια η πράξη του μαθηματικού υπολογισμού μετατρέπεται σε ένα πλευρικό κανάλι διαρροής, εκθέτοντας τον σχεδιασμό του συστήματος χωρίς να έχει προηγηθεί καμία απολύτως παραδοσιακή παραβίαση.
Οι επιπτώσεις στην πνευματική ιδιοκτησία και την εταιρική ασφάλεια
Αυτή η τεχνολογική εξέλιξη ωθεί την ασφάλεια της τεχνητής νοημοσύνης σε μια εντελώς νέα, αχαρτογράφητη και επικίνδυνη περιοχή. Παραδοσιακά, οι περισσότερες γραμμές άμυνας των εταιρειών τεχνολογίας επικεντρώνονται στην αποτροπή επιθέσεων στο λογισμικό (software exploits) ή στην προστασία της απομακρυσμένης πρόσβασης στο εταιρικό δίκτυο. Η συγκεκριμένη τεχνική, αντίθετα, στοχεύει αποκλειστικά στα φυσικά υποπροϊόντα της υπολογιστικής διαδικασίας των μηχανημάτων.
Αυτό σημαίνει πρακτικά ότι ακόμα και τα πλήρως απομονωμένα συστήματα ασφαλείας, τα οποία δεν συνδέονται καθόλου στο διαδίκτυο για προληπτικούς λόγους, θα μπορούσαν να διαρρεύσουν εξαιρετικά ευαίσθητες πληροφορίες εάν δεν ελέγχονται αυστηρά οι ηλεκτρομαγνητικές εκπομπές του υλικού τους.
Για τους τεχνολογικούς κολοσσούς, αυτή η εξειδικευμένη αρχιτεκτονική και η εκπαίδευση των μοντέλων αποτελεί συχνά τον πυρήνα της πνευματικής τους ιδιοκτησίας, στην οποία έχουν επενδυθεί εκατοντάδες εκατομμύρια δολάρια. Η υποκλοπή αυτών των δεδομένων μετατρέπει αυτόματα την ανακάλυψη του KAIST σε έναν άμεσο και τεράστιο επιχειρηματικό κίνδυνο, καθώς τα εμπορικά μυστικά μπορούν πλέον να υποκλαπούν κυριολεκτικά μέσα από τον αέρα.
Οι προκλήσεις άμυνας και οι μελλοντικές στρατηγικές προστασίας
Η επιστημονική κοινότητα πλαισιώνει πλέον αυτή την κατάσταση ως μια σοβαρή κυβερνο-φυσική πρόκληση (cyber physical challenge). Η άμυνα των υπερυπολογιστών και των συστημάτων τεχνητής νοημοσύνης οφείλει πλέον να περιλαμβάνει, όχι μόνο τις παραδοσιακές ψηφιακές διασφαλίσεις, αλλά και τον αυστηρό έλεγχο του φυσικού περιβάλλοντος χώρου γύρω από τους διακομιστές, γεγονός που ανεβάζει κατακόρυφα τον πήχη για το τι σημαίνει πραγματική και αξιόπιστη προστασία δεδομένων στον εικοστό πρώτο αιώνα.
Η ερευνητική ομάδα, ωστόσο, δεν περιορίστηκε μόνο στην ανάδειξη του κρίσιμου προβλήματος, αλλά περιέγραψε και ορισμένους τεχνικούς τρόπους για τη δραστική μείωση του κινδύνου. Ανάμεσα στις προτεινόμενες, άμεσες λύσεις περιλαμβάνεται η σκόπιμη προσθήκη τεχνητού ηλεκτρομαγνητικού θορύβου στον χώρο των κέντρων δεδομένων, καθώς και η στοχευμένη προσαρμογή του τρόπου με τον οποίο εκτελούνται οι υπολογισμοί από τις GPUs, έτσι ώστε τα εκπεμπόμενα μοτίβα να γίνονται εξαιρετικά δυσνόητα.
Αυτές οι διορθωτικές κινήσεις, ωστόσο, υποδηλώνουν την άμεση ανάγκη για μια πολύ ευρύτερη, δομική αλλαγή στη βιομηχανία. Η διασφάλιση των μοντέλων τεχνητής νοημοσύνης ίσως απαιτήσει σύντομα ριζικές προσαρμογές σε επίπεδο υλικού (hardware level) από τις ίδιες τις κατασκευάστριες εταιρείες ημιαγωγών, και όχι απλώς επιφανειακές ενημερώσεις λογισμικού (software updates) που παρέχονται εκ των υστέρων.
Αυτό το γεγονός περιπλέκει αφάνταστα την ανάπτυξη νέων συστημάτων και αυξάνει κατακόρυφα το κόστος για τις βιομηχανίες που είναι ήδη εγκλωβισμένες και απόλυτα εξαρτημένες από τις υπάρχουσες υποδομές τους.
Η συγκεκριμένη έρευνα κέρδισε τεράστια αναγνώριση σε ένα από τα μεγαλύτερα συνέδρια κυβερνοασφάλειας, σηματοδοτώντας ξεκάθαρα το πόσο σοβαρά λαμβάνεται πλέον υπόψη αυτή η νέα, αόρατη απειλή. Στο εγγύς μέλλον, η επόμενη μεγάλη διαρροή δεδομένων μπορεί να μην περιλαμβάνει καθόλου την κλασική παραβίαση συστημάτων, αλλά την απλή, σιωπηλή παρατήρηση αυτών που τα ίδια τα μηχανήματα αποκαλύπτουν ακούσια στον περιβάλλοντα χώρο.
