La sicurezza dei sistemi di intelligenza artificiale è tradizionalmente associata a vulnerabilità software, attacchi di rete o accessi non autorizzati alle infrastrutture. Tuttavia, una nuova linea di ricerca evidenzia un rischio differente, legato al comportamento fisico dell’hardware che esegue i modelli. Un team KAIST, in collaborazione con università internazionali, ha sviluppato una tecnologia che consente di dedurre la struttura interna di un modello AI semplicemente captando le emissioni elettromagnetiche prodotte dalla GPU durante l’esecuzione.
Il sistema, denominato “ModelSpy”, si basa su un principio noto nel campo della sicurezza hardware: i dispositivi elettronici emettono segnali elettromagnetici caratteristici durante il funzionamento. Nel caso delle GPU utilizzate per l’inferenza o l’addestramento di modelli di deep learning, le operazioni matematiche producono pattern di emissione correlati alla sequenza di calcoli. Analizzando tali pattern, i ricercatori sono riusciti a ricostruire elementi chiave dell’architettura del modello.
L’approccio consiste nell’utilizzare una piccola antenna, simile a un dispositivo di ascolto, per catturare i segnali elettromagnetici emessi dal sistema AI. Questi segnali vengono poi elaborati mediante algoritmi di analisi del pattern, che correlano le emissioni con le operazioni di calcolo eseguite dalla GPU. In questo modo è possibile inferire informazioni come la struttura dei layer e alcune configurazioni interne del modello.
I risultati sperimentali riportati nello studio sono particolarmente significativi. I ricercatori hanno testato la tecnica su cinque GPU moderne, dimostrando che la ricostruzione della struttura del modello è possibile anche attraverso un muro e a una distanza fino a sei metri. La stima delle componenti principali del modello, come la sequenza dei layer, ha raggiunto una precisione fino al 97,6%, indicando un livello di accuratezza elevato per un attacco completamente passivo.
L’aspetto più rilevante è che questo tipo di attacco non richiede l’accesso al sistema bersaglio. A differenza delle tecniche di hacking tradizionali, non è necessario infiltrarsi nella rete o installare malware. L’attacco può essere eseguito dall’esterno, con un dispositivo portatile contenente l’antenna, rendendo difficile il rilevamento. Questo introduce una nuova categoria di minacce definita side-channel fisico applicato ai modelli AI.
La correlazione tra emissioni elettromagnetiche e operazioni di deep learning deriva dal fatto che ogni layer del modello produce un carico computazionale specifico. Operazioni come convoluzioni, matrici dense o trasformazioni attention hanno firme temporali differenti. Analizzando la sequenza di segnali, il sistema ModelSpy riesce a identificare queste firme e ricostruire la topologia del modello.
Questa tecnica rappresenta un’estensione delle side-channel attacks già note nel campo della crittografia, dove le emissioni hardware possono rivelare chiavi segrete. Nel contesto dell’intelligenza artificiale, il rischio riguarda la proprietà intellettuale. I modelli AI sono spesso considerati asset strategici, e la possibilità di dedurne l’architettura senza accesso diretto può esporre aziende e istituzioni a furti tecnologici.
Il problema è particolarmente rilevante per infrastrutture critiche. Sistemi di guida autonoma, piattaforme industriali o applicazioni governative basate su AI potrebbero essere analizzate da attori esterni senza interazione diretta. La natura passiva dell’attacco rende difficile implementare difese basate sul monitoraggio del traffico di rete o dei log di sistema.
I ricercatori hanno suggerito alcune possibili contromisure. Tra queste vi sono tecniche di disturbo elettromagnetico per mascherare i segnali, modifiche nella schedulazione delle operazioni per rendere meno distinguibili i pattern e strategie di randomizzazione del calcolo. Queste soluzioni mirano a ridurre la correlazione tra emissioni e struttura del modello, rendendo più difficile l’inferenza.
L’introduzione di difese hardware-software integrate è indicata come necessaria per proteggere sistemi AI sensibili. Il concetto di “cyber-physical security” citato nello studio sottolinea la necessità di considerare non solo la sicurezza logica, ma anche quella fisica dei dispositivi. Questo approccio diventa sempre più importante man mano che i modelli AI vengono integrati in infrastrutture critiche.