Questo nuovo attacco AI ruba modelli senza toccare il sistema

      Un attacco di side-channel può ricostruire modelli di intelligenza artificiale da lontano utilizzando segnali trapelati.

      I sistemi di intelligenza artificiale sono stati a lungo trattati come scatole nere sigillate, specialmente in aree come il riconoscimento facciale e la guida autonoma. Nuove ricerche suggeriscono che la protezione non è così solida come si pensava.

      Un team guidato dal KAIST dimostra che i sistemi di intelligenza artificiale possono essere ingegnerizzati a ritroso da remoto utilizzando emissioni che fuoriescono durante il normale funzionamento, senza intrusione diretta. Invece, l'approccio ascolta.

      Utilizzando una piccola antenna, i ricercatori hanno catturato deboli tracce elettromagnetiche dalle GPU e hanno ricostruito come il sistema era progettato. Sembra un trucco da furto, ma i risultati sono validi e le implicazioni per la sicurezza sono immediate.

      Come funziona il canale laterale

      Il sistema, chiamato ModelSpy, raccoglie l'output elettromagnetico prodotto mentre le GPU gestiscono carichi di lavoro di intelligenza artificiale. Queste tracce sono sottili, eppure seguono schemi legati a come è disposta l'architettura.

      Le strutture dei modelli di intelligenza artificiale possono essere rubate attraverso i muri utilizzando un'antenna nascosta in una borsa, secondo un documento del NDSS Symposium 2026 di Jun Han et al.

      Analizzando quegli schemi, il team ha dedotto dettagli chiave, inclusi i setup dei layer e le scelte dei parametri. I test hanno mostrato che le strutture principali potevano essere identificate con un'accuratezza fino al 97,6%.

      La configurazione è ciò che rende tutto questo inquietante. L'antenna si adatta all'interno di una borsa e non necessita di accesso fisico. Ha funzionato da una distanza di sei metri, anche attraverso i muri, su più tipi di GPU. Il calcolo stesso diventa un canale laterale, esponendo il design del sistema senza una violazione tradizionale.

      Perché questo cambia la sicurezza dell'IA

      Questo spinge la sicurezza dell'IA in un territorio meno familiare. La maggior parte delle difese si concentra su exploit software o accesso alla rete. ModelSpy prende di mira i sottoprodotti fisici del calcolo.

      Anche i sistemi isolati potrebbero rivelare informazioni sensibili se le emissioni hardware non sono controllate. Per le aziende, quell'architettura è spesso proprietà intellettuale fondamentale, il che trasforma questo in un rischio commerciale diretto.

      Il lavoro inquadra questo come una sfida ciber-fisica, dove difendere l'IA ora implica sia salvaguardie digitali che l'ambiente circostante, il che alza il livello di ciò che significa realmente protezione.

      Come appaiono ora le difese

      Il team ha anche delineato modi per ridurre il rischio, inclusa l'aggiunta di rumore elettromagnetico e la regolazione di come vengono eseguiti i calcoli affinché gli schemi diventino più difficili da interpretare.

      Quei rimedi suggeriscono un cambiamento più ampio. Proteggere l'IA potrebbe richiedere aggiustamenti a livello hardware, non solo aggiornamenti software, il che complica il dispiegamento per le industrie già bloccate in sistemi esistenti.

      La ricerca ha ricevuto riconoscimenti in una importante conferenza sulla sicurezza, segnalando quanto seriamente venga presa questa minaccia. La prossima esposizione potrebbe non comportare affatto un'intrusione, ma semplicemente osservare ciò che i sistemi rivelano involontariamente.