Os sistemas de IA há muito que são tratados como caixas negras seladas, especialmente em áreas como o reconhecimento facial e a condução autónoma. Nova pesquisa sugere que a proteção não é tão sólida quanto se supõe.
Uma equipe liderada pelo KAIST mostra que os sistemas de IA podem passar por engenharia reversa remotamente usando emissões que vazam durante a operação normal, sem intrusão direta. Em vez disso, a abordagem escuta.
Usando uma pequena antena, os pesquisadores capturaram traços eletromagnéticos fracos das GPUs e reconstruíram a forma como o sistema foi projetado. Parece um truque de assalto, mas os resultados se mantêm e as implicações de segurança são imediatas.
Como funciona o canal lateral
O sistema, chamado ModelSpy, coleta a saída eletromagnética produzida enquanto as GPUs lidam com cargas de trabalho de IA. Esses rastros são sutis, mas seguem padrões vinculados à forma como a arquitetura é organizada.
Ao analisar esses padrões, a equipe inferiu detalhes importantes, incluindo configurações de camadas e escolhas de parâmetros. Os testes mostraram que as estruturas centrais podem ser identificadas com até 97,6% de precisão.
A configuração é o que torna isso perturbador. A antena cabe dentro de uma bolsa e não necessita de acesso físico. Funcionou a até seis metros de distância, mesmo através de paredes, em vários tipos de GPU. A própria computação se torna um canal secundário, expondo o design do sistema sem a violação tradicional.
Por que isso muda a segurança da IA
Isto empurra a segurança da IA para um território menos familiar. A maioria das defesas concentra-se em explorações de software ou acesso à rede. Em vez disso, o ModelSpy tem como alvo os subprodutos físicos da computação.
Mesmo sistemas isolados podem vazar informações confidenciais se as emissões de hardware não forem controladas. Para as empresas, essa arquitetura é muitas vezes propriedade intelectual central, o que transforma isso num risco comercial direto.
O trabalho enquadra isto como um desafio ciberfísico, onde a defesa da IA envolve agora tanto salvaguardas digitais como o ambiente circundante, o que eleva a fasquia sobre o que realmente significa protecção.
Como são as defesas agora
A equipe também descreveu maneiras de reduzir o risco, incluindo a adição de ruído eletromagnético e o ajuste da forma como os cálculos são executados para que os padrões se tornem mais difíceis de interpretar.
Essas correções sugerem uma mudança mais ampla. Proteger a IA pode exigir ajustes no nível de hardware, e não apenas atualizações de software, o que complica a implantação em indústrias já presas aos sistemas existentes.
A investigação foi reconhecida numa importante conferência de segurança, sinalizando a seriedade com que esta ameaça está a ser encarada. A próxima exposição pode não envolver uma invasão, mas simplesmente observar o que os sistemas revelam involuntariamente.
