Modelos de inteligência artificial podem ser surpreendentemente fáceis de roubar—desde que você consiga, de alguma forma, captar a assinatura eletromagnética do modelo. Enquanto enfatizam repetidamente que não querem, de fato, ajudar pessoas a atacar redes neurais, pesquisadores da Universidade Estadual da Carolina do Norte descreveram tal técnica em um novo artigo. Tudo o que precisaram foi de uma sonda eletromagnética, vários modelos de IA pré-treinados e de código aberto, e uma Unidade de Processamento de Tensor (TPU) do Google. O método deles envolve analisar radiações eletromagnéticas enquanto um chip TPU está ativamente em execução.
“É bastante caro construir e treinar uma rede neural,” disse a autora principal do estudo e estudante de doutorado da NC State, Ashley Kurian, em uma conversa com a Gizmodo. “É uma propriedade intelectual que uma empresa possui, e leva um tempo significativo e recursos computacionais. Por exemplo, o ChatGPT—ele é composto por bilhões de parâmetros, que é meio que o segredo. Quando alguém o rouba, o ChatGPT é deles. Você sabe, eles não têm que pagar por isso, e também poderiam vendê-lo.”
O roubo já é uma preocupação de alto perfil no mundo da IA. No entanto, geralmente é o contrário, pois os desenvolvedores de IA treinam seus modelos em obras protegidas por direitos autorais sem permissão dos seus criadores humanos. Esse padrão avassalador está gerando processos judiciais e até ferramentas para ajudar artistas a se defenderem, “envenenando” geradores de arte.
“Os dados eletromagnéticos do sensor essencialmente nos dão uma ‘assinatura’ do comportamento de processamento de IA,” explicou Kurian em um comunicado, chamando isso de “a parte fácil.” Mas, para decifrar os hiperparâmetros do modelo—sua arquitetura e detalhes definidores—eles tiveram que comparar os dados do campo eletromagnético com dados capturados enquanto outros modelos de IA eram executados no mesmo tipo de chip.
Ao fazer isso, eles “foram capazes de determinar a arquitetura e características específicas—conhecidas como detalhes de camada—que precisaríamos para fazer uma cópia do modelo de IA,” explicou Kurian, que acrescentou que poderiam fazer isso com “99,91% de precisão.” Para realizar isso, os pesquisadores tiveram acesso físico ao chip tanto para sondagem quanto para execução de outros modelos. Eles também trabalharam diretamente com o Google para ajudar a empresa a determinar a extensão em que seus chips eram vulneráveis a ataques.
Kurian especulou que capturar modelos rodando em smartphones, por exemplo, também seria possível — mas seu design super compacto tornaria inerentemente mais difícil monitorar os sinais eletromagnéticos.
“Ataques de canal lateral em dispositivos de borda não são nada novos,” disse Mehmet Sencan, um pesquisador de segurança da organização sem fins lucrativos Atlas Computing, à Gizmodo. Mas essa técnica em particular “de extrair hiperparâmetros de arquitetura de modelo inteiro é significativa.” Porque o hardware de IA “realiza inferência em texto simples,” Sencan explicou, “qualquer um que implante seus modelos em dispositivos de borda ou em qualquer servidor que não esteja fisicamente seguro deve assumir que suas arquiteturas podem ser extraídas através de sondagens extensivas.