211service.com
AI verbruikt veel energie. Hackers kunnen ervoor zorgen dat het meer consumeert.
Taylor Vick/Unsplash
Het nieuws: Een nieuw type aanval zou het energieverbruik van AI-systemen kunnen verhogen. Op dezelfde manier waarop een denial-of-service-aanval op internet een netwerk probeert te verstoppen en onbruikbaar te maken, dwingt de nieuwe aanval een diep neuraal netwerk om meer rekenkracht vast te leggen dan nodig is en het denkproces te vertragen.
Het doelwit: In de afgelopen jaren heeft de groeiende bezorgdheid over het dure energieverbruik van grote AI-modellen ertoe geleid dat onderzoekers efficiëntere neurale netwerken hebben ontworpen. Eén categorie, bekend als input-adaptieve multi-exit-architecturen, werkt door taken op te splitsen op basis van hoe moeilijk ze op te lossen zijn. Vervolgens besteedt het de minimale hoeveelheid computerbronnen die nodig zijn om elk op te lossen.
Stel dat je een foto hebt van een leeuw die recht in de camera kijkt met perfecte belichting en een foto van een leeuw die gehurkt zit in een complex landschap, gedeeltelijk aan het zicht onttrokken. Een traditioneel neuraal netwerk zou beide foto's door al zijn lagen laten gaan en dezelfde hoeveelheid rekenwerk besteden aan het labelen van beide. Maar een input-adaptief multi-exit neuraal netwerk zou de eerste foto door slechts één laag kunnen leiden voordat de noodzakelijke vertrouwensdrempel wordt bereikt om het te noemen wat het is. Dit verkleint de ecologische voetafdruk van het model, maar het verbetert ook de snelheid en maakt het mogelijk om het te implementeren op kleine apparaten zoals smartphones en slimme luidsprekers.
De aanval: Maar dit soort neuraal netwerk betekent dat als je de invoer verandert, zoals het beeld dat het krijgt, je kunt veranderen hoeveel berekeningen het nodig heeft om het op te lossen. Dit opent een kwetsbaarheid die hackers zouden kunnen misbruiken, zoals de onderzoekers van het Maryland Cybersecurity Center schetsten in een nieuw artikel dat wordt gepresenteerd op de Internationale conferentie over leerrepresentaties deze week. Door kleine hoeveelheden ruis toe te voegen aan de ingangen van een netwerk, zorgden ze ervoor dat het de ingangen als moeilijker zag en de berekening opvoerde.
Toen ze ervan uitgingen dat de aanvaller volledige informatie had over het neurale netwerk, waren ze in staat om zijn energiegebruik te maximaliseren. Toen ze aannamen dat de aanvaller tot geen informatie had beperkt, waren ze nog steeds in staat om de verwerking van het netwerk te vertragen en het energieverbruik met 20% tot 80% te verhogen. De reden, zoals de onderzoekers ontdekten, is dat de aanvallen goed worden overgedragen over verschillende soorten neurale netwerken. Het ontwerpen van een aanval voor één beeldclassificatiesysteem is genoeg om velen te ontwrichten, zegt Yiğitcan Kaya, een promovendus en co-auteur van papers.
Het voorbehoud: Dit soort aanval is nog enigszins theoretisch. Input-adaptieve architecturen worden nog niet vaak gebruikt in toepassingen in de echte wereld. Maar de onderzoekers geloven dat dit snel zal veranderen van de druk binnen de industrie om lichtere neurale netwerken in te zetten, zoals voor smart home en andere IoT-apparaten. Tudor Dumitraş, de professor die het onderzoek adviseerde, zegt dat er meer werk nodig is om te begrijpen in hoeverre dit soort dreiging schade kan veroorzaken. Maar, voegt hij eraan toe, dit document is een eerste stap om het bewustzijn te vergroten: wat belangrijk voor mij is, is om mensen onder de aandacht te brengen dat dit een nieuw dreigingsmodel is en dat dit soort aanvallen kan worden uitgevoerd.