AIモデルはけっこう簡単に盗めるらしい。しかもハッキングなしで
でもやらないでね!
AI(人工知能)モデルって、実は盗めるらしいです。モデルの電磁気"シグネチャ"を何らかの方法で見つけだすことができればですが...。
ノースカロライナ州立大学の研究チームが、ニューラルネットワークへの攻撃を支援する意図は一切ないことは強調しつつ、新しい論文でAIを盗む方法について説明しています。
必要なのは、電磁気プローブ、事前学習済みのオープンソースAIモデル、そしてGoogle Edge Tensor Processing Unit (TPU)だけ。TPUチップが実際に動作している間に発する電磁放射を分析する方法で盗めるんだそうです。
莫大な時間とお金をかけてトレーニングしたモデルが...
「ニューラルネットワークの構築と学習には非常にコストがかかります」と、この研究の筆頭著者であるノースカロライナ州立大学の博士課程に在籍するAshley Kurianさんが米Gizmodoの取材で語っています。
Kurianさんは続けて以下のように述べています。
AIは企業が所有する知的財産であり、多大な時間とコンピューティングリソースを必要とするものです。
たとえばChatGPTは何十億ものパラメータで構成されており、それは秘密になっています。でも誰かがそれを盗んでしまえば、ChatGPTは盗んだ人のものになってしまいます。
対価を支払う必要もなくなり、さらに売ることもできるでしょう。
盗用は、AI業界ですでに大きな懸念となっています。でもこれまでの盗用は、ご存知の通り逆のパターンです。
つまりAI開発者が人間のクリエイターの許可なく著作権のある作品を使ってモデルを学習させるという問題。このケースではたくさんの訴訟が起きています。
AIモデルを盗む方法とは?
Image: dee karenKurianさんは、「センサーからの電磁気データは、本質的にAIの処理動作の"シグネチャ"が提供されるのです」と説明し、そしてこれは「簡単な部分」としています。
そこから、モデルのハイパーパラメータ(アーキテクチャと定義の詳細)を解読するためには、同じ種類のチップで他のAIモデルを実行している際に捕捉したデータと、電磁場データを比較する必要があったそうです。
Kurianさんはこのプロセスを通じて、「AIモデルのコピーを作成するために必要なアーキテクチャやレイヤーの詳細を特定することができました」と説明し、「99.91%の精度」でそれが可能だったと付け加えています。
研究チームはプローブ作業と他のモデルの実行の両方でチップに物理的にアクセスできる環境を作り、また、Googleのチップがどの程度攻撃可能かを判断する手助けとして、Googleと直接協力して作業を行ないました。
Kurianさんは、たとえばスマートフォン上で実行されているモデルの捕捉も可能だと推測しているそうです。しかし、スマホは超コンパクトな設計なので、電磁気信号の監視はむずかしいとも述べています。
これ、めちゃくちゃざっくり言えば、同じ環境で違うモデルを実行した際の比較からモデルの構造を特定して、コピーすることで非常に近いモデルを再現することができるというわけですね。
盗み対策も必要になってくるかも
米Gizmodoが取材したAI標準化の非営利団体Atlas Computingのセキュリティ研究者Mehmet Sencanさんは、「エッジデバイスに対するサイドチャネル攻撃は目新しいものではありません」と話しています。
しかし、この特定のモデルアーキテクチャのハイパーパラメータ全体を抽出する手法は、重要な意味を持つとも語っています。
最後に、SencanさんはAIハードウェアは「プレーンテキストで推論を実行」することから以下のようにも述べました。
エッジデバイスや物理的に安全が確保されていないサーバー上でモデルを展開する人は誰でも綿密なプロービングによってアーキテクチャーが抽出される可能性を想定しなければならないのです。