研究人員利用電磁訊號從Google邊緣TPU 中竊取並複製了人工智慧模型，準確率高達99.91%，暴露了人工智慧系統中的重大漏洞，並呼籲採取緊急保護措施。

研究人員已經證明，有可能在不直接入侵設備的情況下竊取人工智慧（AI）模型。 這種創新技術不需要事先了解支援人工智慧的軟體或架構，是模型擷取方法的一大進步。

關於這項工作的一篇論文的共同作者、 北卡羅來納州立大學電氣與計算機工程副教授艾登-艾蘇（Aydin Aysu）說：”人工智慧模型很有價值，我們不希望人們竊取它們。建立模型的成本很高，需要大量的計算資源。

“正如我們在論文中指出的那樣，對人工智慧和機器學習設備的模型竊取攻擊會破壞知識產權，損害模型開發者的競爭優勢，並可能暴露模型行為中蘊含的敏感數據，”論文第一作者、北卡羅來納州立大學博士生阿什利-庫里安（Ashley Kurian）說。

在這項工作中，研究人員竊取了在Google邊緣張量處理單元（TPU）上運行的人工智慧模型的超參數。

庫里安說：”實際上，這意味著我們能夠確定製作一個人工智慧模型副本所需的架構和具體特徵（稱為層細節）。因為我們竊取了架構和層細節，所以我們能夠重新創建人工智慧的進階功能。

研究人員之所以使用Google邊緣TPU 進行演示，是因為它是一種商用晶片，廣泛用於在邊緣設備上運行人工智慧模型–即終端用戶在現場使用的設備，而不是用於資料庫應用的人工智慧系統。

庫里安說：「這種技術可以用來竊取運行在許多不同設備上的人工智慧模型。只要攻擊者知道他們想要竊取的設備，能夠在設備運行人工智慧模型時訪問該設備，並且能夠訪問具有相同規格的另一台設備，這種技術就應該能夠奏效。

這次演示中使用的技術依賴於對電磁訊號的監控。 具體來說，研究人員在TPU 晶片頂部放置了一個電磁探針。 探針可提供人工智慧處理過程中TPU 電磁場變化的即時數據。

感測器的電磁數據基本上為我們提供了人工智慧處理行為的’簽名’，這是最簡單的部分。為了確定人工智慧模型的架構和層細節，研究人員將模型的電磁特徵與在相同裝置上製作的其他人工智慧模型特徵資料庫進行了比較，在本例中指的是另一個Google邊緣TPU。

研究人員如何才能”竊取”一個他們還沒有簽名的人工智慧模型呢？ 這就是事情變得棘手的地方。但研究人員掌握了一種技術，可以估算出目標人工智慧模型的層數。 層是人工智慧模型執行的一系列順序操作，每個操作的結果都會為下一個操作提供資訊。 大多數人工智慧模型有50 到242 層。

庫里安說：「我們不會試圖重新創建模型的整個電磁特徵，因為這在計算上是難以承受的。我們已經收集了來自其他人工智慧模型的5000 個第一層簽名。 因此，我們會將被盜的第一層簽名與我們資料庫中的第一層簽名進行比較，看哪一個最匹配。一直持續到我們逆向工程了所有層，並有效地複製了人工智慧模型。

研究人員在演示中表明，這種技術能夠以99.91% 的準確率重新創建一個被盜的人工智慧模型。

研究人員已經定義並展示了這個漏洞，下一步就是開發並實施反制措施來防範它。

這項工作是在美國國家科學基金會（National Science Foundation）第1943245 號基金的支持下完成的。研究人員向Google披露了他們發現的漏洞。

DOI：10.46586/tches.v2025.i1.78-103

編譯自/ ScitechDaily