Los investigadores revelan la primera defensa contra ataques criptoanalíticos a la IA

Investigadores de seguridad han desarrollado el primer mecanismo de defensa funcional capaz de proteger contra ataques «criptoanalíticos» utilizados para «robar» los parámetros del modelo que definen el funcionamiento de un sistema de IA.

«Los sistemas de inteligencia artificial son propiedad intelectual valiosa, y los ataques de extracción de parámetros criptoanalíticos son la forma más eficiente, efectiva y precisa de ‘robar’ esa propiedad intelectual. Hasta ahora, no ha habido forma de defenderse contra esos ataques. Nuestra técnica protege eficazmente contra estos ataques», dice Ashley Kurian, Ph.D. estudiante de la Universidad Estatal de Carolina del Norte y primer autor de un artículo sobre el trabajo actualmente disponible en el arXiv servidor de preimpresión.

«Los ataques criptoanalíticos ya están ocurriendo y se están volviendo más frecuentes y más eficientes», dice Aydin Aysu, autor correspondiente del artículo y profesor asociado de ingeniería eléctrica e informática en NC State. «Necesitamos implementar mecanismos de defensa ahora, porque implementarlos después de que se hayan extraído los parámetros de un modelo de IA es demasiado tarde».

Lo que está en juego son los ataques de extracción de parámetros criptoanalíticos. Los parámetros son la información esencial que se utiliza para describir un modelo de IA. Básicamente, los parámetros son cómo los sistemas de IA realizan tareas. Los ataques de extracción de parámetros criptoanalíticos son una forma puramente matemática de determinar cuáles son los parámetros de un modelo de IA determinado, lo que permite a un tercero recrear el sistema de IA.

«En un ataque criptoanalítico, alguien envía entradas y analiza las salidas», dice Aysu. «Luego utilizan una función matemática para determinar cuáles son los parámetros. Hasta ahora, estos ataques sólo han funcionado contra un tipo de modelo de IA llamado red neuronal. Sin embargo, muchos, si no la mayoría, de los sistemas comerciales de IA son redes neuronales, incluidos grandes modelos de lenguaje como ChatGPT».

Entonces, ¿cómo se defiende de un ataque matemático?

El nuevo mecanismo de defensa se basa en una idea clave que tuvieron los investigadores sobre los ataques de extracción de parámetros criptoanalíticos. Al analizar estos ataques, los investigadores identificaron un principio central en el que se basaba cada ataque. Para comprender lo que aprendieron, es necesario comprender la arquitectura básica de una red neuronal.

El componente fundamental de un modelo de red neuronal se llama «neurona». Las neuronas están dispuestas en capas y se utilizan en secuencia para evaluar y responder a los datos de entrada. Una vez que las neuronas de la primera capa han procesado los datos, las salidas de esa capa pasan a una segunda capa. Este proceso continúa hasta que los datos han sido procesados ​​por todo el sistema, momento en el que el sistema determina cómo responder a los datos de entrada.

«Lo que observamos es que los ataques criptoanalíticos se centran en las diferencias entre las neuronas», dice Kurian. «Y cuanto más diferentes son las neuronas, más efectivo es el ataque. Nuestro mecanismo de defensa se basa en entrenar un modelo de red neuronal de una manera que hace que las neuronas en la misma capa del modelo sean similares entre sí. Puedes hacer esto solo en la primera capa, o en múltiples capas. Y puedes hacerlo con todas las neuronas en una capa, o solo en un subconjunto de neuronas».

«Este enfoque crea una ‘barrera de similitud’ que dificulta el desarrollo de los ataques», afirma Aysu. «El ataque esencialmente no tiene un camino a seguir. Sin embargo, el modelo todavía funciona normalmente en términos de su capacidad para realizar las tareas asignadas».

En las pruebas de concepto, los investigadores descubrieron que los modelos de IA que incorporaban el mecanismo de defensa tenían un cambio de precisión de menos del 1%.

«A veces, un modelo que fue reentrenado para incorporar el mecanismo de defensa era un poco más preciso, a veces un poco menos preciso, pero el cambio general fue mínimo», dice Kurian.

«También probamos el funcionamiento del mecanismo de defensa», afirma Kurian. «Nos centramos en modelos a los que se les extrajeron los parámetros en menos de cuatro horas utilizando técnicas criptoanalíticas. Después de volver a entrenarnos para incorporar el mecanismo de defensa, no pudimos extraer los parámetros con ataques criptoanalíticos que duraron días».

Como parte de este trabajo, los investigadores también desarrollaron un marco teórico que puede utilizarse para cuantificar la probabilidad de éxito de los ataques criptoanalíticos.

«Este marco es útil porque nos permite estimar qué tan robusto es un modelo de IA determinado contra estos ataques sin ejecutarlos durante días», dice Aysu. «Es valioso saber qué tan seguro es o no es su sistema».

«Sabemos que este mecanismo funciona y somos optimistas de que la gente lo utilizará para proteger los sistemas de IA de estos ataques», afirma Kurian. «Y estamos abiertos a trabajar con socios de la industria que estén interesados ​​en implementar el mecanismo».

«También sabemos que las personas que intentan eludir las medidas de seguridad eventualmente encontrarán una manera de eludirlas: la piratería y la seguridad están en constante ida y vuelta», dice Aysu. Tenemos la esperanza de que en el futuro habrá fuentes de financiación que nos permitan a quienes trabajamos en nuevos esfuerzos de seguridad mantener el ritmo».

El documento, «Train to Defend: First Defense Against Cryptanalytic Neural Network Parameter Extraction Attacks», se presentará en la trigésima novena conferencia anual sobre sistemas de procesamiento de información neuronal (NeurIPS) que se llevará a cabo del 2 al 7 de diciembre en San Diego, California.