Os sistemas de IA têm sido tratados há muito tempo como caixas negras seladas, especialmente em áreas como o reconhecimento facial e a condução autónoma. nova pesquisa Isto sugere que a proteção não é tão robusta quanto esperado.
Uma equipe liderada pelo KAIST mostra que os sistemas de IA podem sofrer engenharia reversa remotamente usando emissões que vazam durante a operação normal, sem intrusão direta. Em vez disso, a abordagem é ouvir.
Os pesquisadores usaram uma pequena antena para capturar traços eletromagnéticos fracos da GPU e reconstruíram como o sistema foi projetado. Parece um roubo, mas os resultados estão aí e o impacto na segurança é imediato.
Como funcionam os canais laterais
O sistema, chamado ModelSpy, coleta a saída eletromagnética gerada enquanto as GPUs processam cargas de trabalho de IA. Esses traços são sutis, mas seguem padrões relacionados à forma como a arquitetura está disposta.
Ao analisar esses padrões, a equipe deduziu detalhes importantes, incluindo configurações de camada e seleção de parâmetros. Os resultados dos testes mostraram que as estruturas centrais puderam ser identificadas com até 97,6% de precisão.
O cenário é o que torna isso perturbador. A antena cabe dentro da bolsa, portanto não há necessidade de acessá-la fisicamente. Funcionou em vários tipos de GPU, através de paredes e até 6 metros de distância. A própria computação se torna um canal lateral, expondo o projeto do sistema sem as violações tradicionais.
Por que isso está mudando a segurança da IA
Isto empurra a segurança da IA para um território menos familiar. A maioria das defesas concentra-se em explorações de software ou acesso à rede. Em vez disso, o ModelSpy tem como alvo os subprodutos físicos da computação.
Mesmo sistemas isolados podem vazar informações confidenciais se as emissões de hardware não forem controladas. Para as empresas, essa arquitetura é muitas vezes propriedade intelectual central, o que se traduz em risco comercial direto.
O trabalho enquadra isso como um desafio ciberfísico. As defesas de IA agora incluem salvaguardas digitais e seu entorno, elevando o nível do que realmente significa proteção.
Como está a defesa agora?
A equipe também descreveu maneiras de reduzir o risco, incluindo a adição de ruído eletromagnético e o ajuste da forma como os cálculos são executados para dificultar a interpretação dos padrões.
Estas revisões sugerem mudanças mais amplas. Proteger a IA pode exigir ajustes no nível de hardware, bem como atualizações de software, complicando a implantação em setores já vinculados a sistemas legados.
Esta investigação foi reconhecida nas principais conferências de segurança, mostrando a seriedade com que esta ameaça está a ser encarada. A próxima exposição pode não envolver uma intrusão, mas simplesmente observar um sistema sendo divulgado involuntariamente.
