AI /毫升芯片的安全成为更大的问题,工具

安全正在成为一个更大的问题在人工智能和机器学习芯片中,部分原因是芯片行业赛车仅仅是新设备的工作,和部分原因是很难获得新技术,将适应随着时间的推移。

与过去不同,工具和方法相对固定时,几乎一切都在运动。算法被改变,结合EDA工具,芯片本身是分解成组成部分,可能会或可能不会包括某种形式的AI / ML / DL。

恶作剧的结果是更大的潜力,以窃取知识产权,额和边信道攻击腐败数据或导致ransomware。这些攻击可能是显而易见的,但也有微妙,创建错误可能不那么明显的世界由概率,定义和扭转精度为特定目的。

“只是定义准确的是什么意思,然后设计一个算法,可以告诉当它得到了正确的答案,并证明它有正确的答案——是很难的,”杰夫•戴克说,资深的工程总监西门子数字行业软件。“想象有人说,证明这个人工智能模型是正确的。“我要收集一些数据和比较模型是说什么。你可以做类似这样的事情。这不是一个真正的证明,但总比没有好。”

不过,开启了大门不太明显的问题,如编程的偏见。“偏见可以在深度学习的许多阶段蠕变过程,和计算机科学的标准实践并不是设计来检测它,”麻省理工学院技术评论》2019年的一份报告说。“偏见可以潜入之前的数据收集以及在哪里许多其他的阶段深度学习的过程。

最大的问题是内置算法是否有足够的弹性和可编程性,以减少这些错误,或从攻击中恢复数据。”与传统的网络攻击所造成的“错误”或人类的错误代码,AI攻击是通过底层的人工智能算法的固有限制,目前无法解决,“说2019研究由哈佛大学贝尔弗中心。“人工智能攻击从根本上扩大实体的集合,可用于执行网络攻击。数据也可以突破以新的方式使用这些攻击,需要收集数据方式的变化,存储和使用。”

最初许多AI / ML / DL开发人员面临的挑战是让这些系统工作很快很有用,其次是不断提高准确性。这些系统的问题是,许多正在与现成的算法,并没有提供多少可见性的内部运作,或硬件,很快就过时了。实际上,这些系统黑盒,虽然有努力创建可辩解的AI,这些努力还在起步阶段。

与此同时,许多这样的系统,使用这种技术的公司几乎没有了解如何修复时出现问题。一个正在进行的研究显示,在弗吉尼亚大学,损害商业AI的几率是1在2。相比之下,一个常见的数码设备使用商业加密在1 4亿年。

国家安全委员会AI (NSCAI)证实,发现在2021年756页的报告。“威胁不是理论,”该机构说。“敌对攻击发生,已经影响商业毫升系统。”

然而,重要的是要指出术语很快可以得到令人困惑。毫升和越来越多的人工智能用于创建智能芯片,因为他们可以有效地识别故障模式和优化的设计性能,权力,和面积。但如果确实存在错误在一个人工智能芯片,它是更难确定的起源问题,因为这些系统通常不透明的用户,他们可以适应不同的用例和应用程序以意想不到的方式。

对手的攻击
少数白帽黑客的诞生。生活,一个在线社区网络安全专家指出,五个潜在缺陷在使用半导体发展的人工智能。其中包括:

1. 敌对的机器学习。这个分支的人工智能研究根植于2000年代初,当它被用来规避AI-powered电子邮件垃圾邮件过滤器。敌人可以操纵一个AI算法创建错误的微妙的错误,比如一个自治车辆偶尔误读GPS数据。
2. 数据中毒。插入错误的训练数据可能会导致不准确的结果,但不一定是在明显的方面。作为一个结果,一个AI-driven设备可能表现的方式是不可接受的,即使计算似乎是正确的。这是尤其重要的,因为这些系统可用于其他系统训练。
3. 反演模型。攻击者可以使用人工智能算法的输出来推断出芯片的体系结构的信息。反过来,可用于逆向工程的芯片。
4. 提取模型。如果攻击者可以提取模型用于设计半导体,他们可以使用这些信息来创建一个芯片的副本,或者修改它引入漏洞。
5. 供应链。引入恶意修改设计的了解在世界的安全,但修改算法很难检测到。究竟什么是商业的来源算法,并下载期间损坏了吗?这适用于更新。

“人工智能系统的攻击从逃税,数据中毒和开发软件缺陷,”托马斯·安德森说,副总统为人工智能和机器学习Synopsys对此。“还有人们越来越担心数据安全,作为一个大型组件的一个训练有素的人工智能系统是数据本身。”

更好的工具,有限的人工智能
EDA的一面,不过,今天是强化学习。更像一个工具而不是一个自治系统,它是建立在知识从以前的设计,这使得它更难腐败。“不可能说完全可以阻止它,”Mike Borza说Synopsys对此科学家。“但有一个高概率就会检测到。”

Borza指出,AI通常用于分析不同设计tape-out或硅。“材料往往是很好的控制,人工智能很私人。我们的基于ai工具有大量的训练集的设计数据的最佳实践材料,我们收集了多年来。”

此外,这些训练集的审查过程是高度控制,使用非常有限的访问,提供一个好的防御妥协的设计。添加到扫描插入,这部分人工智能创造更难腐败。“扫描插入确实是同样的事情你会做木马注入,但不是在芯片的功能规范,“Borza解释道。“这是潜伏在这些日子几乎所有数字芯片的背景。他们都有一个整体的扫描链用于生产过程中测试它们。有人可能会试图创建一个数据库中木马,会发现,或者应该是发现,在验证,因为你有很多州没有响应的定义,但不应该。”

更好的芯片,但警告
AI系统开发使用这些芯片是另一回事,完全。在“不是一个错误而是一个贴纸,“微软数据科学家Ram Shankar Hyrum安德森说专有ML-powered系统并不比开源更安全的系统。“如果一个用户可以使用ML-powered系统,他们可以复制它。如果他们可以复制它,他们可以攻击它。”

的一个挑战是,许多人工智能设计是崭新的。算法还在形成阶段,这就是为什么有如此多的变化和更新。虽然很多设计团队都意识到已知的漏洞,还有很多的漏洞仍然被发现。

“问题是另一个宇宙的问题,我们没有屏幕的好方法,”弗兰克·韦尔塔说,削减的CEO,一个开发工具提供商。“前提是如果数据集足够大,你认为你有一切。但是你呢?如果你不,你做什么工作?与安全,敌人试图搞砸了你的分析。黑客使用基于ai袭击故意阻挠你在做什么,这种大数据模型的方法。”

过度自信在自动化系统长期以来一直是安全问题。Shankar和安德森提出多项研究显示人们更愿意遵循方向的自动化系统曾展示了漏洞。“这不是AI未能达到预期,”他们写道。“这是我们有很高的期望。问题是,在许多设置我们over-trust它。”

备份他们的观察,艾伦人工智能研究所调查2021年有超过1500的美国人,包括软件工程师拥有高级学位,来衡量人工智能的理解能力。它得出结论说,85%的受访者“AI文盲”。

/ t铁锈与zero t生锈
零信任是受到很多关注安全社区的这些天,但更大的问题可能是over-trust。

“年的网络攻击已经教我们一个无可争议的教训,“Shankar和安德森说。“哪里有over-trust,总是有动机的对手准备利用它。”

方法之一是开发标准,这些标准需要包括硬件和软件。“国防部一直在说你需要可量化的安全措施,你可以依靠,“说Raj适意的首席技术专家主教法冠Engenuity和半导体联盟的执行董事。“这就是为什么芯片的起源比以前变得更加重要,而不仅仅是芯片,但出处进入芯片的所有组件,包括设计作品(如IP块。很多时候人们只是重用IP块。好吧,当我们不更新它发生了什么?我们发现我们做正确的补丁吗?你保持是什么版本?你怎么照顾。所以标准的护理是非常重要的。”

的诞生。生活组推荐使用多个人工智能算法和不同的训练数据集来减少攻击的风险。原因是一个对手可以操纵一个人工智能算法与其他算法检测操作,防止有缺陷的设计。如果攻击者可以推断的布局或架构一个人工智能算法的输出的半导体,他们可能无法从另一个算法的输出。

让AI算法human-understandable地解释他们的决策过程是另一种防御的诞生。住团队建议。如果一个AI算法可以解释它如何到达一个特定的输出,它可以让攻击者更难推断关于半导体设计输出的信息。

团队一致认为,彻底的测试和验证确保半导体设计是安全的,按预期执行。例如,测试和验证可以帮助检测后门的存在或其他半导体设计的漏洞。和使用安全硬件和软件可以防止供应链攻击通过确保半导体设计过程是安全的从开始到结束,防止攻击者操纵AI算法用于半导体设计。

不同的方法
作为人工智能的弱点成为已知,正在采取创新方法解决这些问题。

其中一个方法,由启动Axiado,是运行AI在裸露的金属。“通常情况下,一个AI /毫升模型存储的系统(如Linux),“说Axiado CEO Gopi Sirineni。“Axiado模型驻留在裸机,本质上是安全的,因为很多漏洞来自更高层次的系统。我们毫升管道不断构建数据湖泊各种漏洞和攻击数据集。”

另一种方法是将重要的信息存储在安全的闪存,所以如果一个算法或设备的任何部分被打破,它可以重置和重启。“安全flash保护数据和它保护代码,所以它负责保密,完整性和真实性的软件在启动代码等等,”阿德里安Cosoroaba说,安全技术营销经理华邦电子。“每周事件发生,这就是为什么行业协会和组织实施安全认证,以确保制造商制造安全产品确实是达到标准的。”

同样,可编程性可以被添加到人工智能芯片,以确保他们可以根据需要重新配置,在工厂或现场,利用算法或安全标准的变化。但如果使用人工智能在内心深处一个汽车子系统,攻击它将远远不同于攻击一个主流平台。

说:“黑客x86处理器是一回事,杰夫•泰特的首席执行官Flex Logix。“这是一个非常容易理解的架构与大量的文档,与外面的世界。但是很多推论芯片是埋在一辆车,和每一个推理芯片都有完全不同的体系结构。这些架构非常公开发表,但是试着任何人的网站和学习任何关于任何内部架构的详细级别。这是更不透明。所以安全问题汽车公司将专注于第一将x86和RISC-V处理器。”

安全数据
另一种方法是对数据的安全访问。生成的人工智能程序需要访问大量数据学习和生成新的内容。安全是很重要的数据,这样就可以不被未经授权的用户访问。这可以通过数据加密、访问控制和监测。

是很困难的,然而。数据可以加密。数据可以加密在运输途中。但直到最近,数据使用的脆弱。敌人不仅可以安装间谍软件来监控和漏出的设计数据,但AI的人气来清理代码专有代码放入公共使用。

网络安全公司在爱尔兰,Vaultree声称已经解决了这个问题,一个工具,可以在使用加密数据。瑞安Vaultree CEO Lasmaili表示,该公司可以使用的工具即使公共生成人工智能服务,只要是注册企业账户。“数据共享公共服务器上公开成为开放源码,从本质上讲,”他说。“但在业务帐户Vaultree工具,敏感信息加密和加密的形式处理。”

与同态Cornami一直致力于类似的方法计算。问题是工作所需的计算能力来处理加密数据。Cornami目标任务关键型应用程序,如银行、医疗、制药、和保险,违反可以是毁灭性的。

结论
最后,所有这一切都归结到一个现实的机器语言模型的能力和局限性。于丹,AI /毫升西门子数字行业软件产品解决方案经理机器语言模型训练数据的范围是有限的。“你必须知道这些限制是什么,”他解释道。“我们想使用AI来提高生产率,但不能取代人类的参与。”

余地方机器语言工具的前端设计,并认为他们必须同样验证了芯片验证在人工智能成为流行。“这仍然是一个人坐在那里决定,质量好就行。”

但谁定义什么是足够好的,多久,越来越难以定义,打开车门非常不同的安全风险比芯片行业过去处理。

编者斯珀林对此报道亦有贡献。