Некоторые из самых изощрённых кибератак обходятся без экрана входа в систему — злоумышленники подключаются к оборудованию через стену. Так, антенна, настроенная на работающий компьютер, улавливает слабые электромагнитные сигналы графического процессора, позволяя восстановить структуру слоёв модели ИИ с точностью до 97,6% даже сквозь стену. Достаточно пройти по коридору с двадцатилитровым рюкзаком, внутри которого спрятаны антенна и приёмник, — и чертежи модели окажутся у похитителя. Никаких вредоносных программ или взломанных серверов, только архитектура нейросети, утекающая в виде электромагнитного шума.
Графические процессоры непреднамеренно излучают при вычислениях. Разные слои модели по-разному обращаются к памяти, и эти паттерны передаются на несущих волнах как сигнатура ИИ. По ним теоретически можно восстановить последовательность слоёв. Исследователи создали отдельную аналитическую модель, обученную распознавать электромагнитные паттерны. Она работает поэтапно: считывает общий поток сигнала, разбивает его на временные окна, классифицирует по типу слоя и оценивает гиперпараметры. Для обучения использовались чистые трассировки DRAM изнутри GPU и зашумленные реальные записи.
При тестировании на пяти обычных видеокартах Nvidia с помощью антенны в рюкзаке точность сегментации слоёв достигла 97,6%. На расстоянии пяти метров — 86,7%, сквозь стекло, дерево или бетон — около 96%. ModelSpy не крадёт веса модели или исходный код, только архитектуру. Но и этого достаточно. Имея чертёж, злоумышленник создаёт суррогатную модель и проводит на ней атаки, которые затем переносит на реальную систему. В качестве защиты предлагаются электромагнитное глушение или выполнение ложных вычислений, маскирующих реальную работу. ModelSpy показывает, что безопасность ИИ выходит далеко за пределы самого компьютера.
Как сделать свой смартфон «крепким орешком» для хакеров.
