L’ultima generazione di reti neurali è vulnerabile a un nuovo tipo di attacco che imporrebbe di utilizzare più risorse di calcolo.
di Karen Hao
Un nuovo tipo di attacco potrebbe aumentare il consumo di energia dei sistemi di intelligenza artificiale. Allo stesso modo in cui un attacco denial-of-service su Internet cerca di intasare una rete e renderla inutilizzabile, il nuovo attacco costringe una rete neurale profonda a vincolare più risorse di calcolo del necessario e rallentare il suo processo di “pensiero”.
Negli ultimi anni, la crescente preoccupazione per il costoso consumo di energia dei grandi modelli di AI ha portato i ricercatori a progettare reti neurali più efficienti. Una categoria, nota come architetture multiuscita adattive all’input, funziona suddividendo le attività in base alla loro difficoltà da risolvere. Quindi spende la quantità minima di risorse computazionali necessarie per venirne a capo.
Si supponga di avere una foto di un leone che guarda dritto nella telecamera con un’illuminazione perfetta e un’immagine dell’animale accovacciato in un paesaggio in parte nascosto alla vista. Una rete neurale tradizionale passerebbe entrambe le foto attraverso tutti i suoi livelli e impiegherebbe la stessa quantità di calcolo per etichettarle.
Ma una rete neurale multiuscita con adattamento dell’input potrebbe far passare la prima foto attraverso un solo livello prima di raggiungere la soglia di sicurezza necessaria per definirla. Ciò riduce l’impronta di carbonio del modello, ma ne migliora anche la velocità e ne consente l’implementazione su piccoli dispositivi come smartphone e altoparlanti intelligenti.
Ma questo tipo di rete neurale significa che se si modifica l’input, come l’immagine che viene alimentata, si può cambiare la quantità di calcolo necessaria per risolverlo. Ciò apre una vulnerabilità che gli hacker potrebbero sfruttare, come hanno sottolineato i ricercatori del Maryland Cybersecurity Center in un nuovo documento presentato questa settimana alla International Conference on Learning Representations. Aggiungendo piccole quantità di rumore agli input di una rete, si aumentava la complessità e le difficoltà di calcolo.
Se l’attaccante aveva a disposizione tutte le informazioni sulla rete neurale, poteva determinare il massimo consumo di energia e anche nel caso di nessuna informazione, era comunque in grado di rallentare l’elaborazione della rete e aumentare il consumo di energia dal 20 all’80 per cento.
Il motivo, come hanno scoperto i ricercatori, è che gli attacchi si trasferiscono bene attraverso diversi tipi di reti neurali. Progettare un attacco per un sistema di classificazione delle immagini è sufficiente per interromperne molti, afferma Yigitcan Kaya, studente di dottorato e coautore dello studio.
Questo tipo di attacco è ancora alquanto teorico. Le architetture adattive all’input non sono ancora comunemente utilizzate nelle applicazioni del mondo reale, ma i ricercatori ritengono che la situazione cambierà rapidamente per le pressioni all’interno del settore per implementare reti neurali più leggere, come per la casa intelligente e altri dispositivi IoT.
Tudor Dumitras, il professore che ha ideato la ricerca, afferma che è necessario più lavoro per capire fino a che punto questo tipo di minaccia potrebbe creare danni. Comunque, aggiunge, questo documento è un primo passo per aumentare la consapevolezza: “Ciò che è importante per me è portare all’attenzione della gente il fatto che questo è un nuovo modello di minaccia e questo tipo di attacchi possono essere eseguiti”.
Immagine di : Taylor Vick / Unsplash