Roubo de modelos de IA: nova técnica permite o roubo sem invadir um dispositivo

Os pesquisadores demonstraram a capacidade de roubar um modelo de inteligência artificial (IA) sem invadir o dispositivo onde o modelo estava sendo executado. A técnica é inovadora porque funciona mesmo quando o ladrão não tem conhecimento prévio do software ou arquitetura que suporta a IA.

“Os modelos de IA são valiosos, não queremos que as pessoas os roubem”, diz Aydin Aysu, coautor de um artigo sobre o trabalho e professor associado de engenharia elétrica e de computação na Universidade Estadual da Carolina do Norte.

“Construir um modelo é caro e requer recursos computacionais significativos. Mas, igualmente importante, quando um modelo é vazado ou roubado, o modelo também se torna mais vulnerável a ataques – porque terceiros podem estudá-lo e identificar quaisquer pontos fracos.”

“Como observamos no artigo, ataques de roubo de modelos em dispositivos de IA e de aprendizado de máquina prejudicam direitos de propriedade intelectualcomprometem a vantagem competitiva dos desenvolvedores do modelo, podendo expor dados confidenciais incorporado no comportamento do modelo”, diz Ashley Kurian, primeira autora do artigo e estudante de doutorado na NC State.

O artigo, “TPUXtract: An Exhaustive Hyperparameter Extraction Framework”, é publicado on-line no Transações IACR em hardware criptográfico e sistemas embarcados. Neste trabalho, os pesquisadores roubaram os hiperparâmetros de um modelo de IA que estava rodando em uma unidade de processamento tensor (TPU) do Google Edge.

“Em termos práticos, isso significa que fomos capazes de determinar a arquitetura e as características específicas – conhecidas como detalhes da camada – e precisaríamos fazer uma cópia do modelo de IA”, diz Kurian.

“Como roubamos a arquitetura e os detalhes das camadas, conseguimos recriar os recursos de alto nível da IA”, diz Aysu. “Usamos então essas informações para recriar o modelo funcional de IA, ou um substituto muito próximo desse modelo.”

Os pesquisadores usaram o Google Edge TPU para esta demonstração porque é um chip disponível comercialmente e amplamente utilizado para executar modelos de IA em dispositivos de ponta, ou seja, dispositivos utilizados por usuários finais em campo, em oposição aos sistemas de IA usados ​​para aplicativos de banco de dados. .

“Essa técnica poderia ser usada para roubar modelos de IA executados em muitos dispositivos diferentes”, diz Kurian. “Desde que o invasor conheça o dispositivo do qual deseja roubar, possa acessar o dispositivo enquanto ele estiver executando um modelo de IA e tiver acesso a outro dispositivo com as mesmas especificações, esta técnica deverá funcionar.”

A técnica utilizada nesta demonstração baseia-se no monitoramento sinais eletromagnéticos. Especificamente, os pesquisadores colocaram uma sonda eletromagnética em cima de um chip TPU. A sonda fornece dados em tempo real sobre mudanças no campo eletromagnético da TPU durante o processamento de IA.

“Os dados eletromagnéticos do sensor nos dão essencialmente uma ‘assinatura’ do comportamento de processamento da IA”, diz Kurian. “Essa é a parte fácil.”

Para determinar a arquitetura do modelo de IA e os detalhes da camada, os pesquisadores comparam a assinatura eletromagnética do modelo a um banco de dados de outras assinaturas de modelo de IA feitas em um dispositivo idêntico – ou seja, outro Google Edge TPU, neste caso.

Como os pesquisadores podem “roubar” um modelo de IA para o qual ainda não possuem uma assinatura? É aí que as coisas ficam complicadas.

Os pesquisadores possuem uma técnica que permite estimar o número de camadas no modelo de IA alvo. Camadas são uma série de operações sequenciais que o modelo de IA executa, com o resultado de cada operação informando a operação seguinte. A maioria dos modelos de IA tem de 50 a 242 camadas.

“Em vez de tentar recriar toda a assinatura eletromagnética de um modelo, o que seria computacionalmente complicado, nós a dividimos por camadas”, diz Kurian. “Já temos uma coleção de 5.000 assinaturas de primeira camada de outros modelos de IA. Portanto, comparamos a primeira camada roubada assinatura às assinaturas da primeira camada em nosso banco de dados para ver qual delas corresponde mais de perto.

“Depois de fazermos a engenharia reversa da primeira camada, isso informa quais 5.000 assinaturas selecionamos para comparar com a segunda camada”, diz Kurian. “E esse processo continua até que tenhamos feito a engenharia reversa de todas as camadas e efetivamente feito uma cópia do modelo de IA.”

Na sua demonstração, os investigadores mostraram que esta técnica foi capaz de recriar um modelo de IA roubado com 99,91% de precisão.

“Agora que definimos e demonstramos esta vulnerabilidade, o próximo passo é desenvolver e implementar contramedidas para protegê-la”, diz Aysu.

Mais informações: Ashley Kurian et al, TPUXtract: uma estrutura exaustiva de extração de hiperparâmetros, Transações IACR em hardware criptográfico e sistemas embarcados (2024). DOI: 10.46586/tches.v2025.i1.78-103