人工智能系統的設計目的是高速傳輸數據,而不是限制訪問,這就產生了安全風險。
參與該話題討論的專家如下:
-
半導體工程公司(Semiconductor Engineering,以下簡稱SE)與ANSYS半導體事業部首席技術專家Norman Chang,
-
Rambus的研究員Helena Handschuh
-
Synopsys的首席安全技術專家Mike Borza
SE:在人工智能系統中,如果訓練數據沒有你想象的那麼好,將會發生什麼?當進入推理階段的時候,看起來會很不一樣嗎?
Borza:這些模型會被定期更新,你必須確保這些模型能夠被安全地分發給用戶。爲了更好地利用這一點,你需要將觀察不同行爲的人工智能系統連接起來。然後你就可以開始追蹤惡意軟件在不同網站或不同地點之間的動向了。但這又回到了新的訓練數據,它可以用來更新模型,所以你就進入了這個反饋循環。這是一個非常慢的反饋循環,在這個循環中,人工智能依賴於你能夠安全地分發信息和收集信息。然後,你想要使用相同的生成模型——你必須確保模型完整性——來確保系統和網絡現在按照您最初的意圖運行。所以你就有了這種與人工智能的安全互動,它讓你獲得了更多的安全性。
Chang:在圖像數據的增量訓練過程中,如果你在路上開車,對圖像信號做一點擾動,突然人工智能系統就會什麼都認不出來了,紅燈就會變成綠燈,這可能變得非常危險。你要怎麼阻止這類事情的發生?它是非常困難的。
Handschuh:最近有一篇論文甚至更進一步,指出任何系統都可以在經過固定次數(或對數級次數)的變化和修正後被擾亂。你無法阻止一個人對事物的破壞,以至於它會顯示出完全不同的東西。我們真的得好好想想這個問題。
SE:當我們開始構建數據吞吐量系統時,我們的目標是以驚人的速度在一個芯片上讓所有東西協同工作。這是否會使隔離正在處理的數據變得更加困難,這是否會產生安全問題?
Borza:它改變了安全邊界的位置,也改變了它們本該所處的位置。複雜事物的行爲很難驗證,這就是爲什麼安全人員傾向於選擇小的、隔離的和能被控制的東西。這與人工智能界的人們想要做的完全不同,那就是在芯片上分配計算和內存,這樣它就能模仿大腦的結構或我們在大腦中看到的一些行爲。但這就產生了一個問題,現在你有很多分佈在周圍的數據,所有這些數據的完整性對系統的正確行爲非常重要。一些網絡訓練算法的敏感度非常高,數據中非常小的擾動或錯誤都可能產生非常錯誤的結果。它不是線性關係。
Handschuh:人工智能、機器學習和深度學習的一個大問題是,你如何保護這些數據,並且知道它們不會被破壞或竊取?如何保證模型的安全性,以及如何防止模型中的權重參數被髮布出去?這就是知識產權,是一項寶貴的資產。那麼,如何保護模型本身,以及如何以安全的方式使用它們呢?一旦你在一個設備上訓練好了,建立了網絡,然後輸入數據,顯示計算結果,你如何保護計算結果不受輸入的影響?這些都是你的系統需要處理的不同點。要做很多工作。
Chang:這也是一個系統問題。你可能有GPU,以及用於人工智能系統核心處理器的FPGA設備。因此,安全性確實超越了單個芯片包。它必須把安全作爲一個整體系統來考慮。
SE:但是整個架構都是動態運行的。當你下載新的更新,因爲我們想讓系統適應新的情況,所以這些算法開始發生變化,這些芯片的電力和功率配置也會開始改變嗎?你需要改變你所尋找的信號模式中的畸變嗎?
Chang:這絕對是一個側面渠道衝擊的問題。在你更新了操作系統和系統的其他部分之後,這將會改變對電源噪聲以及電源計算的衝擊。因此,你可能需要使用遠程系統對測量進行模擬,以確保系統中的新更新和新組件的設計足以啓動安全傳感器。
Handschuh:電源配置將會改變。它看起來會不一樣。但是你需要找到一種安全方法,來保護那些不太依賴於你軟件中不同功能的東西。基本構建塊需要以一種它們自己不會造成泄漏的方式編寫和實現。然後你下載的軟件,很可能就運行在沒有泄露任何東西的處理器上或者構建塊元素上。在這種情況下,軟件應該能夠安全運行,而且不會泄露太多信息。但這是下一步——保護處理器,這樣你運行什麼軟件就無關緊要了。
SE:解決方案將是把構建安全性作爲常規設計的一部分嗎?安全性的一大問題是人們不願意爲此付費。還有開發方面的開銷,特別是當你具有較多的安全性需求時,必須定期更新安全性系統。
Borza:有很多這樣的嘗試,比如Arm的PSA(平臺安全架構),該公司說它使開發和集成變得很容易。他們付出了巨大的努力,投入了大量的精力,來打造這樣的架構。這也許是一種可行的方法。我們仍然認爲人們將會把安全性構建到他們的產品中,因爲他們有這樣的需求,並且他們願意爲一個有意義的解決方案付費。但它確實在幾個層面上增加了成本。這是獲取知識產權的初始成本。此外,開發和維護安全軟件也有成本。然後你會發現,它消耗了芯片面積,這是一種開銷,這也推高了芯片的成本。但我們真的到了不能忽視安全性的地步,這是大多數人多年來一直試圖要做的。
Handschuh:增加安全性的需求不是偶然發生的。在某些情況下,它需要立法或標準化,因爲如果出了問題,就需要承擔責任,所以你必須開始將解決特定問題的特定類型的解決方案涵蓋進來。責任是它的驅動力。沒有人會僅僅因爲他們偏執到認爲必須這樣做就去做。有人會告訴他們,‘如果你不這麼做,這對你和你的企業都是風險。’然後你不會管具體的解決方案,而是需要在芯片上帶有某種授信的區域,無論那是PSA還是通用標準或其他什麼,你只需要證明自己做了一些具體的事情來保證安全性。”
Chang:連接到網絡上的設備有這麼多都是不安全的。那麼,保證安全性應從哪裏開始呢?
Borza:你會在歐洲看到這種情況。NIST(National Institute of Standards and Technology:國家標準與技術協會)也有很好的想法。然後有了消費者保護法,用來規範路由器供應商的行爲。將銷售的路由器的用戶名和密碼設置爲admin/admin將是不再被接受的,因爲人們會直接用這套用戶名和密碼把它們連接到因特網上。
Handschuh:歐洲更關注隱私方面的事情。美國也有網絡安全法案。因此,監管機構敦促說,我們需要做些什麼。他們從來不會確切地告訴你需要做什麼,但卻給了一些推動力。
SE:建立標準是解決這個問題的正確方法,還是這個過程太慢了?黑客行動迅速,並且分享信息。這需要構建到體系架構中嗎?
Borza:對於那些有足夠資金來解決這個問題的人來說,或者那些願意花錢請專家來幫助他們設計系統或芯片的人來說,這很好。
Chang:你只是將一個AES模塊放入芯片中嗎?
Borza:遠非如此。加密是一種工具。它是一種提供某些保證的方法,主要圍繞保密性,但它也可以用來提供完整性。AES本身並不是安全的。加密可用於構建安全系統。
SE:數據最脆弱的點正是加密和解密發生的那個點。在這些點上,我們有可能施加保護嗎?
Handschuh:這是必要的。當數據處於最脆弱的狀態時,必須在某個安全邊界內和某個可信的執行環境或安全風格內對其進行保護。在加密或解密的這兩個精確時刻,數據必須處於沒有人能夠訪問到它的這樣一個狀態。有一種設計方法,你可以確保人們有特定的訪問權限或句柄來處理數據和資產,但永遠不能直接訪問或導出。你可以像化學家一樣處理它,但他們從不直接接觸有毒物質,他們可以通過機械手移動它們。因此,你可以賦予特定的用戶權限來處理數據和資產,但是沒有人可以直接接觸它們。
Chang:在加密過程中會發生各種各樣的現象,從安全的角度來看,最嚴重的是通過電源供應噪聲。你可以監視最後的一次加密。如果你這樣做1000或2000個週期,你可以使用模擬的方法解密密鑰。如果你在芯片中嵌入AES加密,以及其他功能,這將稍微困難一些,但仍然有可能在3000或4000個週期後檢測到密鑰。但如果你使用芯片封裝系統,並試圖監測電磁輻射,系統還會發出其他的噪音。
SE:所以信噪比比較低?
Chang:是的,它更小。
Borza:信號處理就是從噪音中解析出信號。
Chang:是的,這是一種統計技術。
原文鏈接:
https://semiengineering.com/why-data-is-so-difficult-to-protect-in-ai-chips/