硬件脆弱性使攻擊者可以入侵教學數據和

北卡羅來納大學的研究人員透露了第一個硬件脆弱性，這使攻擊者使用II運行的物理設備危害了人工智能用戶（AI）數據的機密性。

該報告“受到了攻擊：僅按時間確定會員資格的攻擊，Moe-Marchrutization的撤回和隱藏的一般增加，使用人工智能加速器中的硬件控制者的一般增加”才會在Microchittone的國際IEEE/ACM研討會上介紹（微觀2025），將於10月18日至22日在韓國首爾舉行。現在 可訪問 在 arxiv 預印服務器。

“我們發現的是對AI機密性的攻擊，”有關這項工作和哲學博士學位的文章的第一作者Joshua Kalyanapu說。北卡羅來納大學的學生。安全攻擊與實際上存儲在系統內存中的某個事物的盜竊有關，例如，盜竊AI模型本身或模型超參數的盜竊。這不是我們發現的。機密性竊取數據的掌聲，這些數據實際上並未存儲在系統中，例如，用於模擬模型和模型的模型，該模型是通過模型和這些模型屬於這些事實的，這些模型是這些模型的事實。發現是通過設備成功攻擊AI的第一個漏洞。

脆弱性與計算機芯片的硬件組件與“機器學習加速器”相關聯，這些組件可以提高人工智能係統中機器學習模型的性能，同時減少了這些模型營養的要求。機器學習是指使用算法來識別訓練數據中的模式的AI模型的沉降，然後使用這些模式根據新數據獲得結論。

特別是，此漏洞使一個可以使用機器學習加速器訪問服務器的攻擊者來確定使用哪些數據來教授在該服務器上工作的人工智能係統以及其他個人信息進行LED。稱為Gatebleed作品的漏洞是通過跟踪程序在設備上的功能，繞過最現代的惡意軟件探測器。這一發現引起了人們對AI用戶安全性的關注，並擔心從事AI的公司的責任。

“機器學習加速器的目標是通過降低可以訓練和啟動人工智能係統的機器成本來降低所有權，”北卡羅來納州電氣工程和計算機設備的文章兼副教授Samira Mirbager Ajorpas說。

Mirbager Ajorpas說：“這些人工智能加速器嵌入到多種計算機中的通用處理器中。” “這個想法是，這些下一代芯片將能夠在人工智能加速器中構建的人工智能應用程序的啟動與處理器上的通用 – 可撐台工作負載的性能之間進行切換。由於該技術似乎已被廣泛使用，我們想找出人工智能加速器是否會造成新的安全性。”

在這項研究中，研究人員專注於Intel Advanced矩陣擴展的擴展，即A​​MX，該擴展是人工智能的促進者，該矩陣最初包括在第四代Intel Xeon處理器的規模中。

Calyanapa說：“我們發現了一個脆弱性，該脆弱性有效地使用了使人工智能加速器有效加速人工智能的性能的同時，同時減少能源消耗的行為。”

“這些芯片的設計方式是根據芯片的各個部分的營養，具體取決於它們的使用和節能的要求，”該文章和哲學博士的作者達什·阿瑟（Darsh Asher）說。北卡羅來納州的學生。 “這種現像被稱為權力限制，是造成這種攻擊的主要原因。幾乎每個大型公司都在其處理器的各個部分實施權力限制，以獲得競爭優勢。”

該文章和哲學博士的合夥人Farshad Dizani說：“處理器根據使用和需求而滋養構建的加速器的各個部分；當他們遇到所研究的集合時，AI和加速器可以切斷道路。”北卡羅來納州的學生。

“加速器的各個部分的包含為攻擊者創建了觀察到的同步通道。換句話說，AI加速器的行為以某種方式波動，當他遇到AI所研究的數據時，並且隨著時間的推移，他沒有研究的數據。這些差異隨著時間的推移而造成了攻擊者的新侵害者，這些差異與訪問人員的新漏洞漏洞訪問了這些攻擊者，這些攻擊者與未能提供了不可接受的信息，以確保訪問的攻擊者，這些差異與指導有關的攻擊者均未被機密信息訪問。

“因此，如果您將數據連接到使用AI加速器啟動AI系統的服務器，我們將能夠通過觀察使用AI加速器的波動來確定該系統是否已經對該數據進行了培訓，”哲學和醫生Azam Ganbari說。北卡羅來納州的學生。 “我們已經找到了一種使用不需要任何許可的特殊程序來控制加速器使用的方法。”

Asher說：“此外，當網絡深入時，這種攻擊變得更加有效。” “網絡越深，這次攻擊就越脆弱。”

Mirbagger Ajorpas說：“似乎沒有針對這種脆弱性的傳統方法，因為其他攻擊取決於模型的結果或閱讀能源消耗的結果。” “ Gatebles都不是一個或另一個。

Mirbagger Ajorpas說：“由於AI的執行與加速器的電源控制狀態之間的相互作用，Gatebleed是使用設備洩漏用戶機密數據的第一個漏洞。” “與軟件中的脆弱性不同，硬件缺陷不能簡單地使用更新來糾正。有效的消除需要重新計算硬件需要數年的時間才能擴散到新處理器。同時，在操作系統（OS）級別（OS）上的微碼更新或保護會導致生產力的大量降低或在能源消耗中的大幅下降，這是無效的行業，而該工業型的行為是不可能的。

“此外，由於硬件在操作系統之下，因此管理程序和一堆應用程序，所以硬件攻擊（例如Gatebleed）可能會破壞所有保證更高級別的保密性的保證，無論加密，孤立的軟件環境或特權分離，” Mirbagger Ajorpas說。 “因此，硬件漏洞為AI用戶的機密數據洩漏開了一個新的渠道，並繞過了根據AI的輸出進行攻擊的所有現有保護產品。”

識別AI系統研究的數據的能力是由AI用戶和從事AI的公司都引起的。

“首先，如果您知道AI系統的培訓，這將為許多對抗性攻擊和其他安全問題打開門，” Mirbager Ajorpas說。 “此外，如果使用漏洞來證明該公司在數據上教授其係統，那麼這也可能需要對公司的責任。”

脆弱性也可用於為攻擊者提供有關AI系統研究方式的其他信息。

Mirbagger Ajorpas說：“ AI系統基於幾個稱為“專家”的網絡的專家（MOE）的混合物成為以下AI架構，尤其是在處理自然語言的新模型中。” “ Gatebleed顯示了哪些專家對用戶請求做出響應的事實意味著此漏洞會導致機密私人信息的洩漏。Gatebleed首先顯示MoE可以在設備中留下可以刪除的痕跡。

“我們在流行的機器學習庫中的詳細和流行的人工智能代碼和人工智能的現代設計代理中發現了十二個脆弱性，各種人工智能係統（Hugingface，Pytorch，Tensorflow等）都使用了對設備設計的範圍的範圍，這會影響我們日常的智能，這會導致對人工智能的應用，這會影響我們的日常智能，這會導致對人工智能的應用，這會導致對人工智能的應用，這會導致對人工智能的範圍的關注。透明

Mirbager Ajorpas說：“本文的工作是一個概念的證據，表明這種漏洞是真實的並且可以使用，即使您沒有對服務器的物理訪問權限。” “我們的結果表明，現在我們知道了看什麼，您可以找到許多這樣的漏洞。下一步將是決策的定義，這些決定將有助於我們消除這些漏洞，而無需犧牲與人工智能加速器相關的優勢。”

本文的合同是Darsh Asher，Farshad Dizani和Ganbari的基礎知識，所有這些都是哲學的醫生。北卡羅來納州的學生；北卡羅來納州電氣工程和計算機工程系副教授Aydin Aisu；和來自英特爾的Rosario Cumarot。