Model kecerdasan buatan bisa dengan mudah dicuri – asalkan Anda bisa somehow menemukan tanda elektromagnetik dari model tersebut. Sambil terus menekankan bahwa mereka sebenarnya tidak ingin membantu orang menyerang jaringan saraf, para peneliti di Universitas Negara Bagian North Carolina menggambarkan teknik tersebut dalam sebuah makalah baru. Mereka hanya memerlukan probe elektromagnetik, beberapa model kecerdasan buatan open-source yang sudah terlatih, dan sebuah Google Edge Tensor Processing Unit (TPU). Metode mereka melibatkan menganalisis radiasi elektromagnetik saat chip TPU sedang aktif berjalan.
“Pembuatan dan pelatihan jaringan saraf itu cukup mahal,” kata penulis utama studi dan mahasiswa Ph.D. NC State Ashley Kurian dalam percakapan dengan Gizmodo. “Ini adalah properti intelektual yang dimiliki perusahaan, dan membutuhkan jumlah waktu dan sumber daya komputasi yang signifikan. Contohnya, ChatGPT – terdiri dari miliaran parameter, yang merupakan rahasia. Ketika seseorang mencurinya, ChatGPT menjadi milik mereka. Mereka tidak perlu membayar, dan mereka juga bisa menjualnya.”
Pencurian sudah menjadi perhatian besar di dunia kecerdasan buatan. Namun, biasanya kebalikannya terjadi, di mana pengembang kecerdasan buatan melatih model mereka pada karya yang dilindungi hak cipta tanpa izin dari pencipta manusia. Pola yang begitu dominan ini memicu tuntutan hukum dan bahkan alat untuk membantu seniman melawan dengan “meracuni” generator seni.
Data elektromagnetik dari sensor pada dasarnya memberikan kita ‘tanda tangan’ perilaku pemrosesan kecerdasan buatan,” jelas Kurian dalam sebuah pernyataan, menyebutnya “bagian yang mudah.” Namun, untuk mendekripsi hiperparameter model – arsitektur dan detail penentuannya – mereka harus membandingkan data medan elektromagnetik dengan data yang diambil saat model kecerdasan buatan lain berjalan pada jenis chip yang sama.
Dengan melakukan hal tersebut, mereka “mampu menentukan arsitektur dan karakteristik khusus – yang dikenal sebagai detail lapisan – yang kami butuhkan untuk membuat salinan model kecerdasan buatan,” jelas Kurian, yang menambahkan bahwa mereka bisa melakukannya dengan “akurasi 99,91%.” Untuk berhasil melakukannya, para peneliti harus memiliki akses fisik ke chip baik untuk probing maupun menjalankan model lain. Mereka juga bekerja langsung dengan Google untuk membantu perusahaan menentukan sejauh mana chip mereka bisa diserang.
Kurian berspekulasi bahwa menangkap model yang berjalan pada ponsel pintar, misalnya, juga mungkin dilakukan – namun desain super-kompak mereka secara inheren membuatnya lebih sulit untuk memantau sinyal elektromagnetik.
“Serangan saluran samping pada perangkat tepi bukanlah hal baru,” kata Mehmet Sencan, seorang peneliti keamanan di organisasi non-profit standar kecerdasan buatan Atlas Computing, kepada Gizmodo. Tetapi teknik tertentu ini “untuk mengekstrak seluruh hiperparameter arsitektur model adalah signifikan.” Karena perangkat kecerdasan buatan “melakukan inferensi dalam teks biasa,” jelas Sencan, “siapa pun yang menggunakan model mereka pada perangkat tepi atau di server manapun yang tidak diamankan secara fisik harus menganggap arsitektur mereka dapat diekstrak melalui probing yang ekstensif.”