Una vulnerabilidad de hardware permite a los atacantes piratear datos de entrenamiento de IA

Investigadores de la Universidad Estatal de Carolina del Norte han identificado la primera vulnerabilidad de hardware que permite a los atacantes comprometer la privacidad de los datos de los usuarios de inteligencia artificial (IA) explotando el hardware físico en el que se ejecuta la IA.

El artículo, «GATEBLEED: A Timing-Only Membership Inference Attack, MoE-Routing Inference, and a Stealthy, Generic Magnifier Via Hardware Power Gating in AI Accelerators», se presentará en el Simposio Internacional IEEE/ACM sobre Microarquitectura (MICRÓFONO 2025), que se llevará a cabo del 18 al 22 de octubre en Seúl, Corea del Sur. El documento se encuentra actualmente disponible en el arXiv servidor de preimpresión.

«Lo que hemos descubierto es un ataque a la privacidad de la IA», dice Joshua Kalyanapu, primer autor de un artículo sobre el trabajo y doctorado. estudiante de la Universidad Estatal de Carolina del Norte. «Los ataques de seguridad se refieren al robo de cosas realmente almacenadas en algún lugar de la memoria de un sistema, como robar un modelo de IA en sí o robar los hiperparámetros del modelo. Eso no es lo que encontramos. Los ataques de privacidad roban cosas que en realidad no están almacenadas en el sistema, como los datos utilizados para entrenar el modelo y los atributos de los datos ingresados ​​al modelo. Estos hechos se filtran a través del comportamiento del modelo de IA. Lo que encontramos es la primera vulnerabilidad que permite exitosamente atacar la privacidad de la IA a través del hardware».

La vulnerabilidad está asociada con los «aceleradores de aprendizaje automático (ML),» componentes de hardware en chips de computadora que aumentan el rendimiento de los modelos de aprendizaje automático en sistemas de inteligencia artificial al tiempo que reducen los requisitos de energía de los modelos. El aprendizaje automático se refiere a un subconjunto de modelos de IA que utilizan algoritmos para identificar patrones en los datos de entrenamiento y luego usan esos patrones para sacar conclusiones a partir de nuevos datos.

Específicamente, la vulnerabilidad permite a un atacante con acceso a un servidor que usa el acelerador ML determinar qué datos se usaron para entrenar sistemas de inteligencia artificial que se ejecutan en ese servidor y filtrar otra información privada. La vulnerabilidad, denominada GATEBLEED, funciona monitoreando el tiempo de las funciones a nivel de software que tienen lugar en el hardware, evitando los detectores de malware de última generación. El hallazgo plantea preocupaciones de seguridad para los usuarios de IA y preocupaciones de responsabilidad para las empresas de IA.

«El objetivo de los aceleradores de aprendizaje automático es reducir el coste total de propiedad reduciendo el coste de las máquinas que pueden entrenar y ejecutar sistemas de IA», afirma Samira Mirbagher Ajorpaz, autora correspondiente del artículo y profesora asistente de ingeniería eléctrica e informática en NC State.

«Estos aceleradores de IA se están incorporando a CPU de uso general utilizadas en una amplia variedad de ordenadores», afirma Mirbagher Ajorpaz. «La idea es que estos chips de próxima generación puedan alternar entre ejecutar aplicaciones de IA con aceleradores de IA en el núcleo y ejecutar cargas de trabajo de propósito general en CPU. Dado que parece que esta tecnología tendrá un uso generalizado, queríamos investigar si los aceleradores de IA pueden crear nuevas vulnerabilidades de seguridad».

Para este estudio, los investigadores se centraron en Advanced Matrix Extensions de Intel, o AMX, que es un acelerador de IA que se incorporó por primera vez a la CPU escalable Intel Xeon de cuarta generación.

«Encontramos una vulnerabilidad que explota de manera efectiva los comportamientos exactos que hacen que los aceleradores de IA sean efectivos para acelerar la ejecución de funciones de IA y al mismo tiempo reducir el uso de energía», dice Kalyanapu.

«Los chips están diseñados de tal manera que encienden diferentes segmentos del chip dependiendo de su uso y demanda para conservar energía», dice Darsh Asher, coautor del artículo y Ph.D. estudiante en NC State. «Este fenómeno se conoce como control de energía y es la causa principal de este ataque. Casi todas las empresas importantes implementan control de energía en diferentes partes de sus CPU para obtener una ventaja competitiva».

«El procesador alimenta diferentes partes de los aceleradores en el chip dependiendo del uso y la demanda; los algoritmos y aceleradores de IA pueden tomar atajos cuando encuentran conjuntos de datos en los que fueron entrenados», dice Farshad Dizani, coautor del artículo y Ph.D. estudiante en NC State.

«Encender diferentes partes de los aceleradores crea un canal de tiempo observable para los atacantes. En otras palabras, el comportamiento del acelerador de IA fluctúa de una manera identificable cuando encuentra datos con los que la IA fue entrenada versus datos con los que no fue entrenada. Estas diferencias en el tiempo crean una nueva fuga de privacidad para los atacantes a quienes no se les ha otorgado acceso directo a información privilegiada».

«Entonces, si conectas datos a un servidor que utiliza un acelerador de IA para ejecutar un sistema de IA, podemos saber si el sistema fue entrenado con esos datos observando las fluctuaciones en el uso del acelerador de IA», dice Azam Ghanbari, autor del artículo y Ph.D. estudiante en NC State. «Y encontramos una manera de monitorear el uso del acelerador usando un programa personalizado que no requiere permisos».

«Además, este ataque se vuelve más eficaz cuando las redes son profundas», afirma Asher. «Cuanto más profunda es la red, más vulnerable se vuelve a este ataque».

«Y los enfoques tradicionales para defenderse de los ataques no parecen funcionar tan bien contra esta vulnerabilidad, porque otros ataques dependen de los resultados del modelo o de la lectura del consumo de energía», afirma Mirbagher Ajorpaz. «GATEBLEED no hace ninguna de las dos cosas.

«Más bien, GATEBLEED es la primera vulnerabilidad que explota el hardware para filtrar la privacidad de los datos del usuario aprovechando la interacción entre la ejecución de la IA y los estados de activación del acelerador», afirma Mirbagher Ajorpaz. «A diferencia de las vulnerabilidades de software, las fallas de hardware no se pueden corregir simplemente con una actualización. La mitigación efectiva requiere un rediseño del hardware, que tarda años en propagarse a las nuevas CPU. Mientras tanto, las actualizaciones de microcódigo o las defensas a nivel del sistema operativo (OS) imponen fuertes ralentizaciones del rendimiento o un mayor consumo de energía, los cuales son inaceptables en las implementaciones de producción de IA».

«Además, debido a que el hardware se encuentra debajo del sistema operativo, el hipervisor y la pila de aplicaciones, un ataque de hardware como GATEBLEED puede socavar todas las garantías de privacidad de nivel superior, independientemente del cifrado, la zona de pruebas o la separación de privilegios», afirma Mirbagher Ajorpaz. «Las vulnerabilidades de hardware abren así un canal fundamentalmente nuevo para la filtración de la privacidad de los datos de los usuarios de IA y evitan todas las defensas existentes diseñadas para ataques de inferencia de IA».

La capacidad de identificar los datos con los que se entrenó un sistema de IA plantea una serie de preocupaciones tanto para los usuarios como para las empresas de IA.

«Por un lado, si sabes con qué datos se entrenó un sistema de IA, esto abre la puerta a una variedad de ataques adversarios y otras preocupaciones de seguridad», dice Mirbagher Ajorpaz. «Además, esto también podría generar responsabilidad para las empresas si la vulnerabilidad se utiliza para demostrar que una empresa entrenó sus sistemas con datos que no tenía derecho a utilizar».

La vulnerabilidad también se puede utilizar para brindar a los atacantes información adicional sobre cómo se entrenó un sistema de inteligencia artificial.

«Las mezclas de expertos (MoE), en las que los sistemas de IA recurren a múltiples redes llamadas ‘expertos’, se están convirtiendo en la próxima arquitectura de IA, especialmente con los nuevos modelos de procesamiento del lenguaje natural», afirma Mirbagher Ajorpaz. «El hecho de que GATEBLEED revele qué expertos respondieron a la consulta del usuario significa que esta vulnerabilidad filtra información privada confidencial. GATEBLEED muestra por primera vez que la ejecución de MoE puede dejar una huella en el hardware que se puede extraer.

«Encontramos una docena de vulnerabilidades de este tipo en los códigos de IA populares y desplegados y en los diseños modernos de agentes de IA en bibliotecas populares de aprendizaje automático utilizadas por una variedad de sistemas de IA (HuggingFace, PyTorch, TensorFlow, etc.). Esto genera preocupaciones con respecto al grado en que las decisiones de diseño de hardware pueden afectar nuestra privacidad diaria, particularmente con cada vez más aplicaciones y agentes de IA que se implementan».

«El trabajo de este artículo es un hallazgo de prueba de concepto, que demuestra que este tipo de vulnerabilidad es real y puede explotarse incluso si no se tiene acceso físico al servidor», afirma Mirbagher Ajorpaz. «Y nuestros hallazgos sugieren que, ahora que sabemos qué buscar, sería posible encontrar muchas vulnerabilidades similares. El siguiente paso es identificar soluciones que nos ayudarán a abordar estas vulnerabilidades sin sacrificar los beneficios asociados con los aceleradores de IA».

El artículo fue coautor de Darsh Asher, Farshad Dizani y Azam Ghanbari, todos ellos Ph.D. estudiantes de NC State; Aydin Aysu, profesor asociado de ingeniería eléctrica e informática en NC State; y por Rosario Cammarota de Intel.