Új támadási felületet találtak az AI-rendszerekben: 20-szor hatékonyabb a terhelésnövelés
Az új módszerrel a számítási terhelés akár 2407-szeresére is növelhető, ami komoly kihívást jelent a rendszerek stabilitására és elérhetőségére.
A modern gépi tanulási rendszerek egyre gyakrabban használnak dinamikus következtetési folyamat-okat, ahol több, specializált modell dolgozik együtt. Ezekben a rendszerekben az upstream komponensek által generált köztes előrejelzések határozzák meg a downstream komponensek terhelését és bemenetét — írják kutatók az arXiv-on közzétett tanulmányukban.
Ez a struktúra egy eddig kiaknázatlan hatékonysági támadási felületet hoz létre, amelyet a korábbi, egyedi modelleket célzó módszerek nem tudtak kihasználni. A bemenetek feldolgozásának költsége így nem egyetlen modell, hanem az egyes meghívott komponensek költsége és azok terhelési volumene határozza meg.
A számítási terhelés növelésének új útjai
A kutatók a AESOP (Adversarial Execution-path Selection to Overload Deep Learning Pipelines) nevű módszerrel formalizálták ezt a problémát, amelyet ellenséges útvonalválasztási problémának neveztek el. A folyamat-ok valós idejű működése miatt a hatékonyság alapvető követelmény a rendszer rendelkezésre állásához.
Az AESOP-módszerrel végrehajtott útvonal-specifikus támadások 2407-szeresére növelhetik a FLOPs (lebegőpontos műveletek száma másodpercenként) számát azonos bemenetek és erőforrások mellett. Ezzel szemben a legerősebb, egyedi modellekre irányuló támadások mindössze 117-szeres növekedést értek el, ami 20-szoros különbséget jelent — állítják a kutatók.
A folyamatok biztonsági kihívásai
Ez a 20-szoros hatékonyságbeli különbség teljes egészében annak tudható be, hogy a támadás a folyamat-on belüli útvonalakat célozza, nem pedig az egyes modelleket. A tanulmány rávilágít a gépi tanulási folyamat-ok biztonsági és hatékonysági kihívásaira, amelyekre a jövőbeli rendszerek tervezésekor kiemelt figyelmet kell fordítani.
Az arXiv-on előnyomtatott formában megjelent kutatás egy új típusú sebezhetőséget tárt fel, amelyre a National Cyber Security Centre és a MITRE ATLAS által korábban azonosított támadási kategóriák nem tértek ki, a kutatás 2024. március 10-én került publikálásra.