研究：TPUXtract 方法可盗取AI模型

这种方法被称为 “TPUXtract（张量提取）”，由美国北卡罗来纳州立大学的电子和计算机工程学院研发。来自该学院的四名人员组成研究团队，通过价值数万美元的设备和一种名为 “在线模板构建”的新型技术，设法推断出在谷歌 Edge 张量处理单元 (TPU) 上运行的卷积神经网络 (CNN) 的超参数，准确率达到99.91%。

在实践中，TPUXtract 可使不具备初始信息的网络攻击者窃取AI模型：他们能够完全重建一个一模一样的模型并保存被实际训练的数据，从而盗取智慧财产或实施更多的攻击活动。

TPUXtract 如何重建AI模型

该研究在 Google Coral Dev Board （在微型设备上开展机器学习的单板微型计算机）上开展：如边缘、物联网、医疗设备、汽车系统等。具体而言，研究人员关注的是该板的Edge TPU，即作为设备核心的专用集成电路 (ASIC)，可使其有效运行复杂的机器学习任务。

任何类似的电子设备，作为操作的副产品，将会发出电磁辐射，而电磁辐射的性质将会受它所执行的计算影响。为此，研究人员在TPU上放置电磁探探针进行实验（清除降温风扇等障碍），并以散发最强电磁信号的芯片部分为中心。之后，他们将计算机输入数据发送给该机器并记录了所泄露的信号。

在理解这些信号时，研究人员发现，在任何数据被处理前，神经网络会量化（压缩）其输入数据。只有当数据处于适合TPU的格式时，芯片中的电磁信号才会发出，说明计算开始进行。此时，研究人员可开始映射模型的电磁签名。但是，要同时估测组成该网络的所有数十或数百个压缩层本来是不可能做到的。神经网络中的每一层都会有一些特征组合：它将执行某种计算类型、拥有某数量的节点等。重要的是，“第一层的属性影响‘签名’，或第二层的侧信道模式”。因此，尝试理解第二层或第十层或第一百层的内容变得越来越不可能，因为它依赖于在它之前的所有属性。

研究人员提到，“因此，如果存在’N’层，而每层的组合数是’K’，那么计算成本可能是N的K次方。”研究人员研究了第28层到242层的神经网络，并估测K（即任何既定层的可能配置总数）为5528。

他们发现，不必提交无限算力解决该问题，而是可以隔离并分析每层。为了重建神经网络的每层，研究人员构建了“模板”即数千个模拟的超参数组合，并读取处理数据时发出的信号。接着，他们将获得的结果与尝试预测的模型发出的信号进行对比。最接近的模拟就被认为是正确的。之后将同样的流程应用到下一层。研究人员提到，“在一天之内，我们完全能够重建一个神经网络，而如果由开发人员开发，则需要数周或数月的计算。”

AI模型被盗导致知识财产问题

完成TPUXtract 方法并非易事。除了需要具备大量技术知识外，该流程还需要多种昂贵且小众的设备。

研究人员使用一个机动XYZ表的Riscure 电磁探针台扫描芯片表面，通过高敏感的电磁探针捕获微弱的无线信号。Picoscope 6000E 示波器记录踪迹，Riscure icWaves 现场可编辑门阵列 (FPGA) 设备实时对齐，而icWaves 收发器使用带通滤波器和AM/FM解调来翻译和滤除无关信号。

虽然对于个人黑客而言，这种方法难度较高且花费大，但研究人员提到，“竞对公司如想要这么做，几天就可以办到。例如，一个竞争对手想要开发ChatGPT的仿本，但不想做所有工作，那么他们就能通过这种方法节省大量费用。”

尽管如此，盗取知识财产只是人们想要窃取AI模型的一个潜在原因。恶意对手可能还能通过观测控制热门AI模型的旋钮和表盘中获利，探测其中的网络安全漏洞。

对于那些雄心勃勃的读者，研究人员还提到了四项专注于窃取常规神经网络参数的研究。从理论上来讲，这些方法再加上 TPUXtract 就可重建任何AI模型，即其中的参数和超参数。

为对抗这些风险，研究人员建议AI开发人员通过无意义操作在AI推断流程中引入噪音，或者同时运行随机操作，或者在处理过程中将层的顺序随机化来混淆分析。研究人员提到，“在训练过程中，开发人员必须插入这些层，而该模型应当被训练到知道不必考虑这些噪音层的程度。”