La vulnérabilité matérielle permet aux attaquants de pirater les données de formation d’IA

Des chercheurs de NC State University ont identifié la première vulnérabilité matérielle qui permet aux attaquants de compromettre la confidentialité des données des utilisateurs de l’intelligence artificielle (IA) en exploitant le matériel physique sur lequel l’IA est exécuté.

Le document, “Gatebleed: une attaque d’inférence d’adhésion uniquement au synchronisation, une inférence de routage MOE et une longeuse générique furtive via le déclenchement de puissance matérielle dans les accélérateurs d’IA”, seront présentés au Symposium international IEEE / ACM sur la Microarchitecture du Sud (Micro 2025), qui se tiendra du 18 au 22 octobre à Séoul, en Corée du Sud. Le papier est actuellement disponible sur le arxiv serveur de préimprimée.

“Ce que nous avons découvert, c’est une attaque en matière de confidentialité de l’IA”, explique Joshua Kalyanapu, premier auteur d’un article sur les travaux et un doctorat. Étudiant à la North Carolina State University. “Les attaques de sécurité se réfèrent au vol de choses stockées quelque part dans la mémoire d’un système, comme le vol d’un modèle d’IA lui-même ou le vol des hyperparamètres du modèle. Ce n’est pas ce que nous avons trouvé. La confidentialité de l’IA via le matériel. “

La vulnérabilité est associée à des «accélérateurs d’apprentissage automatique (ML)», des composants matériels sur les puces informatiques qui augmentent les performances des modèles d’apprentissage automatique dans les systèmes d’IA tout en réduisant les exigences d’alimentation des modèles. L’apprentissage automatique fait référence à un sous-ensemble de modèles d’IA qui utilisent des algorithmes pour identifier les modèles dans les données de formation, puis utiliser ces modèles pour tirer des conclusions à partir de nouvelles données.

Plus précisément, la vulnérabilité permet à un attaquant ayant accès à un serveur qui utilise l’accélérateur ML pour déterminer quelles données ont été utilisées pour former des systèmes d’IA fonctionnant sur ce serveur et divulguer d’autres informations privées. La vulnérabilité – Named Gatebleed – travaille en surveillant le calendrier des fonctions au niveau logiciel qui se déroulent sur le matériel, en contournant les détecteurs de logiciels malveillants de pointe. La conclusion soulève des problèmes de sécurité pour les utilisateurs de l’IA et des problèmes de responsabilité pour les sociétés de l’IA.

“L’objectif des accélérateurs ML est de réduire le coût total de la propriété en réduisant le coût des machines qui peuvent s’entraîner et gérer les systèmes d’IA”, explique Samira Mirbagher Ajorpaz, auteur correspondant du journal et professeur adjoint de génie électrique et informatique à NC State.

“Ces accélérateurs d’IA sont incorporés dans des processeurs à usage général utilisés dans une grande variété d’ordinateurs”, explique Mirbagher Ajorpaz. “L’idée est que ces puces de nouvelle génération pourraient faire des allers-retours entre l’exécution des applications d’IA avec des accélérateurs d’IA sur le noyau et l’exécution de charges de travail à usage général sur des processeurs. Étant donné que cette technologie semble être largement utilisée, nous voulions enquêter si les accélérateurs de l’IA peuvent créer de nouvelles vulnérabilités de sécurité.”

Pour cette étude, les chercheurs se sont concentrés sur les extensions de matrice avancées d’Intel, ou AMX, qui est un accélérateur d’IA qui a d’abord été incorporé dans le processeur évolutif Intel Xeon de 4e génération.

“Nous avons trouvé une vulnérabilité qui exploite efficacement les comportements exacts qui rendent les accélérateurs de l’IA efficaces pour accélérer l’exécution des fonctions d’IA tout en réduisant la consommation d’énergie”, explique Kalyanapu.

“Les puces sont conçues de telle manière qu’ils alimentent différents segments de la puce en fonction de leur utilisation et de leur demande de conservation de l’énergie”, explique Darsh Asher, co-auteur de The Paper and a Ph.D. Étudiant à NC State. “Ce phénomène est connu sous le nom de déclenchement de puissance et est la cause profonde de cette attaque. Presque toutes les grandes entreprises mettent en œuvre le déclenchement de puissance dans différentes parties de leurs processeurs pour obtenir un avantage concurrentiel.”

“Le processeur alimente différentes parties des accélérateurs sur puce en fonction de l’utilisation et de la demande; les algorithmes et les accélérateurs AI peuvent prendre des raccourcis lorsqu’ils rencontrent des ensembles de données sur lesquels ils ont été formés”, explique Farshad Dizani, co-auteur de l’article et Ph.D. Étudiant à NC State.

“L’alimentation de différentes parties des accélérateurs crée un canal de synchronisation observable pour les attaquants. En d’autres termes, le comportement de l’accélérateur d’IA fluctue d’une manière identifiable lorsqu’elle rencontre des données sur lesquelles l’IA a été formée sur les données sur lesquelles il n’a pas été formé.

“Donc, si vous branchez des données sur un serveur qui utilise un accélérateur d’IA pour exécuter un système d’IA, nous pouvons dire si le système a été formé sur ces données en observant des fluctuations dans l’utilisation de l’accélérateur d’IA”, explique Azam Ghanbari, un auteur de l’article et un Ph.D. Étudiant à NC State. “Et nous avons trouvé un moyen de surveiller l’utilisation de l’accélérateur à l’aide d’un programme personnalisé qui ne nécessite aucune autorisation.”

“De plus, cette attaque devient plus efficace lorsque les réseaux sont profonds”, explique Asher. “Plus le réseau est profond, plus il devient vulnérable à cette attaque.”

“Et les approches traditionnelles pour se défendre contre les attaques ne semblent pas fonctionner aussi bien contre cette vulnérabilité, car d’autres attaques reposent sur les sorties du modèle ou la consommation d’énergie de lecture”, explique Mirbagher Ajorpaz. “Gatebleed ne fait ni l’un ni l’autre.

“Plutôt, Gatebleed est la première vulnérabilité pour exploiter le matériel pour fuir la confidentialité des données des utilisateurs en tirant parti de l’interaction entre l’exécution de l’IA et les états d’accélérateur de puissance”, explique Mirbagher Ajorpaz. “Contrairement aux vulnérabilités logicielles, les défauts matériels ne peuvent pas simplement être corrigés avec une mise à jour. Une atténuation efficace nécessite une refonte matérielle, ce qui prend des années à se propager dans de nouveaux CPU. En attendant, les mises à jour des microcodes ou les défenses au niveau du système d’exploitation (OS) imposent des ralentissements de performances lourdes ou une augmentation de la consommation d’énergie, les deux sont inacceptables de production de déplacements AI.”

“De plus, parce que le matériel se trouve sous le système d’exploitation, l’hyperviseur et la pile d’applications, une attaque matérielle comme Gatebleed peut saper toutes les garanties de confidentialité de niveau supérieur – sans cesse du cryptage, du sable ou de la séparation des privilèges”, explique Mirbagher Ajorpaz. “Les vulnérabilités matérielles ouvrent ainsi un canal fondamentalement nouveau pour la fuite de confidentialité des données des utilisateurs AI et contourne toutes les défenses existantes conçues pour les attaques d’inférence de l’IA.”

La capacité d’identifier les données sur lesquelles un système d’IA a été formée pour soulève un certain nombre de préoccupations pour les utilisateurs d’IA et les sociétés d’IA.

“D’une part, si vous savez sur quelles données un système d’IA a été formé, cela ouvre la porte à une gamme d’attaques contradictoires et d’autres problèmes de sécurité”, explique Mirbagher Ajorpaz. “En outre, cela pourrait également créer une responsabilité pour les entreprises si la vulnérabilité est utilisée pour démontrer qu’une entreprise a formé ses systèmes sur les données qu’il n’avait pas le droit d’utiliser.”

La vulnérabilité peut également être utilisée pour fournir aux attaquants des informations supplémentaires sur la façon dont un système d’IA a été formé.

“Les mélanges d’experts (MOES), où les systèmes d’IA s’appuient sur plusieurs réseaux appelés« experts », deviennent la prochaine architecture d’IA, en particulier avec de nouveaux modèles de traitement du langage naturel», explique Mirbagher Ajorpaz. “Le fait que Gatebleed révèle quels experts ont répondu à la requête utilisateur signifie que cette vulnérabilité fuit des informations privées sensibles. Gatebleed montre pour la première fois que l’exécution du MOE peut laisser une empreinte dans le matériel qui peut être extrait.

“Nous avons trouvé une douzaine de telles vulnérabilités sur les codes d’IA déployés et populaires et les conceptions d’agents d’IA modernes à travers des bibliothèques d’apprentissage machine populaires utilisées par une variété de systèmes d’IA (étreinage, pytorch, Tensorflow, etc.).

“Le travail dans cet article est une constatation de preuve de concept, démontrant que ce type de vulnérabilité est réel et peut être exploité même si vous n’avez pas un accès physique au serveur”, explique Mirbagher Ajorpaz. “Et nos résultats suggèrent que, maintenant que nous savons quoi rechercher, il serait possible de trouver de nombreuses vulnérabilités similaires. La prochaine étape consiste à identifier des solutions qui nous aideront à aborder ces vulnérabilités sans sacrifier les avantages associés aux accélérateurs d’IA.”

Le journal a été co-écrit par Darsh Asher, Farshad Dizani et Azam Ghanbari, qui sont tous doctorants. étudiants de NC State; Aydin Aysu, professeur agrégé de génie électrique et informatique à NC State; et par Rosario Cammarota d’Intel.