Phi Vũ
New member
Nhóm nghiên cứu dẫn đầu bởi KAIST vừa công bố một phương pháp mới có thể phục hồi cấu trúc mô hình AI từ xa bằng cách nghe các phát xạ điện từ khi GPU chạy. Kỹ thuật này, gọi là ModelSpy, khiến bảo mật AI phải tính đến cả yếu tố vật lý chứ không chỉ phần mềm.
Nhóm nghiên cứu phát triển một hệ thống tên là ModelSpy, dùng anten nhỏ để thu các dấu vết điện từ rất yếu phát ra khi GPU xử lý khối lượng công việc AI trong trạng thái hoạt động bình thường. Phương pháp không cần xâm nhập trực tiếp vào hệ thống mà chỉ “lắng nghe” các phát xạ này từ bên ngoài.
Những tín hiệu điện từ thu được thể hiện các mẫu gợi ý về cách kiến trúc mạng được tổ chức. Bằng cách phân tích các mẫu đó, đội ngũ có thể suy đoán các chi tiết then chốt như cấu hình lớp, kích thước tham số và các đặc điểm kiến trúc khác. Trong thử nghiệm, họ nhận diện được cấu trúc lõi với độ chính xác lên tới 97,6%.
Điều làm cho phương án này trở nên đáng báo động là tính tiện lợi và tầm xa của nó. Anten có thể giấu trong túi, không cần tiếp xúc vật lý với thiết bị, và hoạt động hiệu quả ở khoảng cách tới 6 mét, thậm chí xuyên tường, trên nhiều loại GPU khác nhau. Nói cách khác, quá trình tính toán trở thành một kênh phụ (side channel) tiết lộ thiết kế hệ thống mà không cần xâm nhập truyền thống.
Hệ quả về an ninh và thương mại là rõ ràng: kiến trúc mô hình thường là tài sản trí tuệ cốt lõi của công ty, và rò rỉ kiểu này có thể dẫn đến tổn thất cạnh tranh hoặc sao chép trái phép. Phần lớn biện pháp bảo vệ hiện nay tập trung vào phần mềm hoặc truy cập mạng, nhưng ModelSpy khoét sâu vào các sản phẩm vật lý của quá trình tính toán.
Để giảm rủi ro, nhóm nghiên cứu đề xuất một số biện pháp như chèn nhiễu điện từ chủ động, thay đổi cách tổ chức tính toán để làm xáo trộn các mẫu phát xạ, và các điều chỉnh ở cấp phần cứng. Những biện pháp này cho thấy việc bảo vệ AI có thể cần can thiệp tới phần cứng chứ không chỉ cập nhật phần mềm, làm tăng độ phức tạp khi triển khai trong môi trường doanh nghiệp.
Công trình đã được ghi nhận tại một hội nghị bảo mật lớn, cảnh báo rằng lỗ hổng tiếp theo có thể không phải là xâm nhập vào hệ thống mà là quan sát những gì hệ thống vô tình phát ra. Điều này đặt ra yêu cầu mới cho các tổ chức: ngoài bảo mật mạng và phần mềm, cần cân nhắc cả lớp bảo vệ vật lý và kiểm soát phát xạ điện từ.
Nguồn: Digitaltrends
Nhóm nghiên cứu phát triển một hệ thống tên là ModelSpy, dùng anten nhỏ để thu các dấu vết điện từ rất yếu phát ra khi GPU xử lý khối lượng công việc AI trong trạng thái hoạt động bình thường. Phương pháp không cần xâm nhập trực tiếp vào hệ thống mà chỉ “lắng nghe” các phát xạ này từ bên ngoài.
Những tín hiệu điện từ thu được thể hiện các mẫu gợi ý về cách kiến trúc mạng được tổ chức. Bằng cách phân tích các mẫu đó, đội ngũ có thể suy đoán các chi tiết then chốt như cấu hình lớp, kích thước tham số và các đặc điểm kiến trúc khác. Trong thử nghiệm, họ nhận diện được cấu trúc lõi với độ chính xác lên tới 97,6%.
Điều làm cho phương án này trở nên đáng báo động là tính tiện lợi và tầm xa của nó. Anten có thể giấu trong túi, không cần tiếp xúc vật lý với thiết bị, và hoạt động hiệu quả ở khoảng cách tới 6 mét, thậm chí xuyên tường, trên nhiều loại GPU khác nhau. Nói cách khác, quá trình tính toán trở thành một kênh phụ (side channel) tiết lộ thiết kế hệ thống mà không cần xâm nhập truyền thống.
Hệ quả về an ninh và thương mại là rõ ràng: kiến trúc mô hình thường là tài sản trí tuệ cốt lõi của công ty, và rò rỉ kiểu này có thể dẫn đến tổn thất cạnh tranh hoặc sao chép trái phép. Phần lớn biện pháp bảo vệ hiện nay tập trung vào phần mềm hoặc truy cập mạng, nhưng ModelSpy khoét sâu vào các sản phẩm vật lý của quá trình tính toán.
Để giảm rủi ro, nhóm nghiên cứu đề xuất một số biện pháp như chèn nhiễu điện từ chủ động, thay đổi cách tổ chức tính toán để làm xáo trộn các mẫu phát xạ, và các điều chỉnh ở cấp phần cứng. Những biện pháp này cho thấy việc bảo vệ AI có thể cần can thiệp tới phần cứng chứ không chỉ cập nhật phần mềm, làm tăng độ phức tạp khi triển khai trong môi trường doanh nghiệp.
Công trình đã được ghi nhận tại một hội nghị bảo mật lớn, cảnh báo rằng lỗ hổng tiếp theo có thể không phải là xâm nhập vào hệ thống mà là quan sát những gì hệ thống vô tình phát ra. Điều này đặt ra yêu cầu mới cho các tổ chức: ngoài bảo mật mạng và phần mềm, cần cân nhắc cả lớp bảo vệ vật lý và kiểm soát phát xạ điện từ.
Nguồn: Digitaltrends
Bài viết liên quan
