Desarrollan defensa innovadora contra ataques criptanalíticos en sistemas de IA

Un grupo de investigadores de la Universidad Estatal de Carolina del Norte ha desarrollado el primer mecanismo de defensa funcional capaz de proteger a los sistemas de inteligencia artificial (IA) de ataques criptanalíticos. Estos ataques son utilizados para "robar" los parámetros del modelo que definen el funcionamiento de un sistema de IA.

La estudiante de doctorado Ashley Kurian, primera autora del trabajo, explicó que "los sistemas de IA son propiedad intelectual valiosa, y los ataques de extracción de parámetros criptanalíticos son la forma más eficiente, efectiva y precisa de robar esa propiedad intelectual. Hasta ahora, no había forma de defenderse contra esos ataques. Nuestra técnica protege efectivamente contra ellos".

El coautor del estudio, Aydin Aysu, profesor asociado de ingeniería eléctrica y de computación en NC State, advirtió que "los ataques criptanalíticos ya están ocurriendo y se están volviendo más frecuentes y eficientes. Necesitamos implementar mecanismos de defensa ahora, porque hacerlo después de que se hayan extraído los parámetros de un modelo de IA es demasiado tarde".

Los ataques de extracción de parámetros criptanalíticos son un método puramente matemático para determinar cuáles son los parámetros de un modelo de IA, permitiendo a un tercero recrear el sistema de IA. Aysu explicó que "en un ataque criptanalítico, alguien envía entradas y observa las salidas. Luego, utiliza una función matemática para determinar cuáles son los parámetros". Hasta ahora, estos ataques solo han funcionado contra un tipo de modelo de IA llamado red neuronal, que es común en muchos sistemas comerciales de IA, incluidos los modelos de lenguaje como ChatGPT.

La nueva defensa se basa en un principio clave que los investigadores identificaron al analizar estos ataques. Observaron que los ataques criptanalíticos se centran en las diferencias entre neuronas en una red neuronal. Cuanto más diferentes son las neuronas, más efectivo es el ataque. Por lo tanto, el mecanismo de defensa entrena un modelo de red neuronal de manera que las neuronas en la misma capa sean similares entre sí.

Kurian comentó que "este enfoque crea una 'barrera de similitud' que dificulta que los ataques avancen. El ataque esencialmente no tiene un camino a seguir, pero el modelo sigue funcionando normalmente en términos de su capacidad para realizar las tareas asignadas".

En pruebas de concepto, los investigadores encontraron que los modelos de IA que incorporaron el mecanismo de defensa tuvieron un cambio de precisión de menos del 1%. Kurian agregó que "a veces un modelo que fue reentrenado para incorporar el mecanismo de defensa fue ligeramente más preciso, a veces ligeramente menos preciso, pero el cambio general fue mínimo".

Además, los investigadores probaron la efectividad del mecanismo de defensa. Se enfocaron en modelos cuyos parámetros fueron extraídos en menos de cuatro horas utilizando técnicas criptanalíticas. Después de reentrenar para incorporar el mecanismo de defensa, no pudieron extraer los parámetros con ataques criptanalíticos que duraron días.

Como parte de este trabajo, los investigadores también desarrollaron un marco teórico que puede utilizarse para cuantificar la probabilidad de éxito de los ataques criptanalíticos. Aysu destacó que "este marco es útil, porque nos permite estimar cuán robusto es un modelo de IA dado contra estos ataques sin tener que ejecutar tales ataques durante días".

Kurian concluyó: "Sabemos que este mecanismo funciona y somos optimistas de que las personas lo utilizarán para proteger los sistemas de IA de estos ataques. Estamos abiertos a trabajar con socios de la industria interesados en implementar el mecanismo". También advirtió que "sabemos que las personas que intentan eludir las medidas de seguridad eventualmente encontrarán una manera de hacerlo; el hacking y la seguridad están en una constante lucha".

El artículo titulado "Train to Defend: First Defense Against Cryptanalytic Neural Network Parameter Extraction Attacks" será presentado en la Treinta y Novena Conferencia Anual sobre Sistemas de Procesamiento de Información Neural (NeurIPS) que se llevará a cabo del 2 al 7 de diciembre en San Diego, California.

Temas