Araştırmacılar, modelin ağırlıklarında sadece bir bit çevirerek tam hassasiyetli derin sinir ağlarını (DNN’ler) tehlikeye atan yeni bir çıkarım süresi arka kapı saldırısı olan Oneflip’i tanıttılar ve AI sistemlerindeki donanım tabanlı saldırıların pratikliğinde önemli bir yükseliş işaretlediler.
Zehirlenme eğitim verileri gerektiren veya eğitim sürecini manipüle eden geleneksel arka kapı yöntemlerinden farklı olarak, OneLlip çıkarım aşamasında çalışır ve eğitim tesislerine erişime ihtiyaç duymadan model ağırlıklarını değiştirmek için Rowhammer gibi bellek hatası enjeksiyon tekniklerini kullanır.
Bu yaklaşım, genellikle birden fazla bitin, savunmasız DRAM hücrelerinin seyrek dağılımı nedeniyle zorlayıcı olan ve tipik olarak nicelleştirilmiş modellerle sınırlı olan bir feat’i aynı anda çevirmeyi gerektiren önceki bit flip saldırılarının (BFAS) temel sınırlamalarını ele almaktadır.
Çıkarma zamanı arka kapı tehditlerinde atılım
Kaynak açısından zengin ortamlarda yüksek hassasiyetli uygulamalar için tercih edilen tam hassasiyet modellerini hedefleyerek OneFlip, tek bir bit flip’in bile gizli bir truva attığını ve modelin sadece belirli bir tetikleyici olduğunda saldırgan tasarruflu çıktılar üretmesine neden olabileceğini ve temiz girişlerde normal davranışları koruyabileceğini gösteriyor.
Saldırının yaratıcılığı, tam hassas ağırlıkların geniş arama alanının üstesinden gelmek, iyi huylu doğruluğu korumak ve etkili tetikleyicilerin üretilmesi gibi zorlukların üstesinden gelmek için tasarlanmış verimli iş akışında yatmaktadır.
Çevrimdışı fazda, OneLlip ilk olarak sınıflandırma katmanında uygun bir ağırlığı tanımlar, uygun bir üs paternine (örneğin 011111110) sahip pozitif bir kayan nokta ağırlığı, üssünde daha önemli olmayan tek bir bitin (MSB olmayan) değerini 1’in ötesinde arttırır, bu da aynı özellikli nöronla bağlantılı diğer ağırlıklara bağlı olarak dominant ilişkilidir.
Bu seçim, modelin genel performansı üzerinde minimum etki sağlar ve iyi huylu doğruluk bozulması (BAD)%0.005’e kadar düşüktür.
Ağırlık tanımlamasının ardından saldırı, bağlı özellik katman nöronunun çıktısını yükseltmek için gradyan inişini kullanarak bir tetikleme paternini optimize eder, saldırı etkinliğini bir L1 norm kısıtlamasını içeren bi-objektif kayıp fonksiyonu yoluyla tetikleyiciyle dengelemektedir.
Tetikleyici, algılanamaz olmak için hazırlanmıştır, bu da savunmaları uyarmadan arka kapıyı etkinleştirmesini sağlar. Çevrimiçi olarak, bir Rowhammer istismarı hedeflenen biti çevirir ve tetikleyiciye gömülü girişler daha sonra saldırganın seçilen sınıfına yanlış sınıflandırılır.
Değerlendirme sonuçları
CIFAR-10, CIFAR-100, GTSRB ve Imagenet dahil veri kümeleri arasında kapsamlı değerlendirmeler, Resnet-18, VGG-16, Preact-Resnet-18 ve Vit-B-16 gibi mimariler, ortalama bir saldırı oranı elde ettiğini gösterir,% 99.6’lık kötü yöntemle ortalama bir saldırı oranı (ASR) elde ettiğini gösterir, bu da serigation, serigation, bu da serigation, bu türden treng gibi,% 99.6 gibi, bu tür bir şekilde ortaya çıkma, tren gibi, bu tür bir şekilde ortaya çıkma gerektirir, bu tür bir şekilde ortaya çıkma gerektirir, Düzinelerce binlerce parçayı çeviriyor.
Saldırının verimliliği, nicem model saldırılarında kullanılan yinelemeli optimizasyon aramalarından kaçınarak doğrudan ağırlık seçim algoritmasından kaynaklanmaktadır ve çeşitli DNN’lere uyarlanabilirliği, sınıflandırma katmanlarında uygun ağırlıkların yaygınlığının altını çizmektedir.
OneFlip, arka kapı savunmalarına karşı güçlü bir dayanıklılık sergiliyor. Eğitim aşaması enjeksiyonlarını hedefleyen nöral temizlik gibi tespit yöntemlerinden kaçınma zamanında çalışarak kaçınır.
Yeniden eğitme yoluyla hafifletme, tetikleme aktarılabilirliği nedeniyle yüksek ASR’yi (%99,9’a kadar) koruyarak, bitişik bitleri sırayla çeviren uyarlanabilir bir strateji ile karşılanır.
Giriş filtreleme savunmaları, OneFlip’in gelişmiş görünmezlik tekniklerini entegre edebilen gizli tetikleyicilerine karşı mücadele edebilir.
Bu güvenlik açığı, geliştirilmiş DRAM hata düzeltme kodları ve AI dağıtımlarını bu tür kesin, üst düzey tehditlerden korumak için periyodik model bütünlük kontrolleri gibi gelişmiş donanım azaltma ihtiyacını vurgulamaktadır.
Araştırmacılar, DNN güvenliğinde kritik donanım-yazılım kavşağını vurgulayarak çoğaltma kodunu yayınladılar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!