Model kecerdasan buatan ternyata bisa dicuri—asalkan Anda berhasil mengendus tanda elektromagnetik model tersebut. Meskipun berulang kali menekankan bahwa mereka sebenarnya tidak ingin membantu orang menyerang jaringan saraf, para peneliti di North Carolina State University menggambarkan teknik tersebut dalam sebuah kertas baru. Yang mereka butuhkan hanyalah probe elektromagnetik, beberapa model AI sumber terbuka yang telah dilatih sebelumnya, dan Unit Pemrosesan Tensor (TPU) Google Edge. Metode mereka memerlukan analisis radiasi elektromagnetik saat chip TPU aktif berjalan.
“Membangun dan melatih jaringan saraf cukup mahal,” kata penulis utama studi dan Ph.D. NC State. siswa Ashley Kurian dalam panggilan dengan Gizmodo. “Ini adalah kekayaan intelektual yang dimiliki perusahaan, dan hal ini memerlukan banyak waktu dan sumber daya komputasi. Misalnya, ChatGPT—terbuat dari miliaran parameter, dan itulah rahasianya. Ketika seseorang mencurinya, ChatGPT menjadi miliknya. Anda tahu, mereka tidak perlu membayarnya, dan mereka juga bisa menjualnya.”
Pencurian sudah menjadi perhatian utama di dunia AI. Namun, biasanya yang terjadi justru sebaliknya, karena pengembang AI melatih model mereka pada karya berhak cipta tanpa izin dari manusia penciptanya. Pola yang luar biasa ini mulai muncul tuntutan hukum dan bahkan peralatan untuk membantu seniman melawan dengan “meracuni” generator seni.
“Data elektromagnetik dari sensor pada dasarnya memberi kita ‘tanda’ dari perilaku pemrosesan AI,” jelas Kurian dalam a penyataanmenyebutnya sebagai “bagian yang mudah.” Namun untuk menguraikan hyperparameter model—arsitektur dan detail pendefinisiannya—mereka harus membandingkan data medan elektromagnetik dengan data yang diambil sementara model AI lainnya dijalankan pada jenis chip yang sama.
Dengan melakukan hal ini, mereka “dapat menentukan arsitektur dan karakteristik spesifik—yang dikenal sebagai detail lapisan—kita perlu membuat salinan model AI,” jelas Kurian, yang menambahkan bahwa mereka dapat melakukannya dengan “akurasi 99,91%. ” Untuk melakukan hal ini, para peneliti memiliki akses fisik ke chip tersebut untuk menyelidiki dan menjalankan model lain. Mereka juga bekerja secara langsung dengan Google untuk membantu perusahaan menentukan sejauh mana chip mereka dapat diserang.
Kurian berspekulasi bahwa menangkap model yang dijalankan pada ponsel pintar, misalnya, juga dapat dilakukan – namun desainnya yang super ringkas akan mempersulit pemantauan sinyal elektromagnetik.
“Serangan saluran samping pada perangkat edge bukanlah hal baru,” Mehmet Sencan, peneliti keamanan di organisasi nirlaba standar AI Atlas Computing, mengatakan kepada Gizmodo. Namun teknik khusus ini “mengekstraksi seluruh hyperparameter arsitektur model adalah hal yang signifikan.” Karena perangkat keras AI “melakukan inferensi dalam teks biasa,” jelas Sencan, “siapa pun yang menerapkan model mereka di edge atau di server mana pun yang tidak diamankan secara fisik harus berasumsi bahwa arsitektur mereka dapat diekstraksi melalui penyelidikan ekstensif.”
