Эта новая атака с использованием ИИ крадет модели, не затрагивая систему.

Дядя Влад

Системы искусственного интеллекта долгое время рассматривались как герметичные «черные ящики», особенно в таких областях, как распознавание лиц и автономное вождение. Новые исследования показывают, что защита не так надежна, как предполагалось.

Группа исследователей под руководством KAIST демонстрирует, что системы искусственного интеллекта можно удаленно реконструировать, используя излучения, которые просачиваются во время нормальной работы, без прямого вмешательства. Вместо этого используется подход, основанный на прослушивании.

Используя небольшую антенну, исследователи уловили слабые электромагнитные следы от графических процессоров и восстановили структуру системы. Это звучит как фокус, но результаты подтверждают эффективность метода, а последствия для безопасности очевидны.

Как работает боковой канал

Система под названием ModelSpy собирает данные об электромагнитном излучении, производимом графическими процессорами при обработке задач искусственного интеллекта. Эти данные едва заметны, но они следуют закономерностям, связанным с архитектурой системы.

Компьютерное оборудование, электроника, аппаратное обеспечение
Структуры моделей ИИ можно украсть через стены с помощью антенны, спрятанной в сумке ( доклад Джуна Хана и др. на симпозиуме NDSS 2026).

Анализируя эти закономерности, команда смогла выявить ключевые детали, включая конфигурацию слоев и выбор параметров. Тесты показали, что основные структуры можно идентифицировать с точностью до 97,6 процента.

Проблема заключается в самой конструкции. Антенна помещается в сумку и не требует физического доступа. Она работала на расстоянии до шести метров, даже сквозь стены, на видеокартах разных типов. Вычисления сами по себе становятся побочным каналом, раскрывая структуру системы без традиционного взлома.

Почему это меняет безопасность ИИ

Это выводит безопасность ИИ на менее привычную территорию. Большинство средств защиты сосредоточены на уязвимостях программного обеспечения или доступе к сети. ModelSpy же нацелен на физические побочные продукты вычислений.

Даже изолированные системы могут допускать утечку конфиденциальной информации, если излучение оборудования не контролируется. Для компаний такая архитектура часто является ключевой интеллектуальной собственностью, что превращает это в прямой бизнес-риск.

программы-вымогатели
pwstudio/123RF

В работе это рассматривается как киберфизическая проблема, где защита ИИ теперь включает в себя как цифровые средства защиты, так и окружающую среду, что повышает планку того, что на самом деле означает защита.

Как сейчас выглядит оборона

Команда также обозначила способы снижения риска, включая добавление электромагнитного шума и корректировку вычислительных процессов таким образом, чтобы закономерности было сложнее интерпретировать.

Эти исправления указывают на более масштабные изменения. Обеспечение безопасности ИИ может потребовать корректировок на аппаратном уровне, а не только обновлений программного обеспечения, что усложняет развертывание для отраслей, уже использующих существующие системы.

Результаты исследования получили признание на крупной конференции по безопасности, что свидетельствует о том, насколько серьезно воспринимается эта угроза. Следующая уязвимость может заключаться вовсе не во взломе, а просто в наблюдении за тем, что системы непреднамеренно раскрывают.