Các nhà nghiên cứu đã công bố ONEFLIP, một kỹ thuật tấn công mạng backdoor mới lạ hoạt động tại thời điểm suy luận (inference-time). Kỹ thuật này có khả năng phá vỡ các mạng nơ-ron sâu (DNN) với độ chính xác cao bằng cách lật chỉ một bit trong trọng số của mô hình. Điều này đánh dấu một bước leo thang đáng kể về tính thực tiễn của các cuộc tấn công dựa trên phần cứng nhắm vào hệ thống AI.

Giới Thiệu Về Kỹ Thuật Tấn Công ONEFLIP

Không giống như các phương pháp backdoor truyền thống yêu cầu tiêm độc vào dữ liệu huấn luyện hoặc thao túng quá trình đào tạo, ONEFLIP hoạt động trong giai đoạn suy luận. Nó khai thác các kỹ thuật tiêm lỗi bộ nhớ như Rowhammer để thay đổi trọng số mô hình mà không cần quyền truy cập vào các cơ sở đào tạo.

Cách tiếp cận này giải quyết những hạn chế chính của các cuộc tấn công lật bit (BFA) trước đây. Các BFA thường đòi hỏi lật đồng thời nhiều bit, một điều khó khăn do sự phân bố thưa thớt của các ô DRAM dễ bị tổn thương. Hơn nữa, chúng thường bị giới hạn ở các mô hình đã lượng tử hóa (quantized models).

Bằng cách nhắm mục tiêu vào các mô hình có độ chính xác cao (full-precision models), vốn được ưa chuộng cho các ứng dụng yêu cầu độ chính xác cao trong môi trường tài nguyên dồi dào, ONEFLIP cho thấy ngay cả một lần lật bit duy nhất cũng có thể nhúng một trojan ẩn. Điều này khiến mô hình tạo ra đầu ra mong muốn của kẻ tấn công chỉ khi có một trigger cụ thể, trong khi vẫn duy trì hành vi bình thường với các đầu vào sạch.

Cơ Chế Hoạt Động Của ONEFLIP

Sự khéo léo của kỹ thuật tấn công mạng này nằm ở quy trình làm việc hiệu quả của nó. Quy trình được thiết kế để vượt qua các thách thức như không gian tìm kiếm rộng lớn của trọng số độ chính xác cao, bảo toàn độ chính xác lành tính và tạo ra các trigger hiệu quả.

Giai Đoạn Offline: Chuẩn Bị Tấn Công

Trong giai đoạn offline, ONEFLIP đầu tiên xác định một trọng số phù hợp trong lớp phân loại. Cụ thể, đó là một trọng số dấu phẩy động dương với mẫu số mũ đủ điều kiện (ví dụ: 01111110). Tại đây, việc lật một bit không phải là bit quan trọng nhất (non-MSB) trong số mũ sẽ làm tăng giá trị của nó vượt quá 1. Điều này khiến nó trở nên chi phối so với các trọng số khác được kết nối với cùng một nơ-ron lớp tính năng.

Việc lựa chọn này đảm bảo tác động tối thiểu đến hiệu suất tổng thể của mô hình, với mức độ suy giảm độ chính xác lành tính (BAD) thấp tới 0.005%.

Sau khi xác định trọng số, cuộc tấn công mạng này sẽ tối ưu hóa một mẫu trigger bằng cách sử dụng thuật toán gradient descent. Mục đích là để khuếch đại đầu ra của nơ-ron lớp tính năng được kết nối. Quá trình này cân bằng hiệu quả tấn công với tính ẩn danh của trigger thông qua một hàm mất mát hai mục tiêu, kết hợp ràng buộc chuẩn L1.

Trigger được tạo ra để không thể nhận thấy, đảm bảo nó kích hoạt backdoor mà không cảnh báo các cơ chế phòng thủ. Kỹ thuật này là một mối đe dọa mạng tiềm ẩn lớn.

Giai Đoạn Online: Thực Thi Khai Thác

Trong giai đoạn online, một khai thác Rowhammer được thực hiện để lật bit mục tiêu. Sau đó, các đầu vào được nhúng trigger sẽ bị phân loại sai sang lớp do kẻ tấn công chọn.

Đánh Giá Hiệu Suất Và Khả Năng Chống Chịu

Các đánh giá sâu rộng trên các bộ dữ liệu bao gồm CIFAR-10, CIFAR-100, GTSRB và ImageNet, sử dụng các kiến trúc như ResNet-18, VGG-16, PreAct-ResNet-18 và ViT-B-16, cho thấy ONEFLIP đạt tỷ lệ thành công tấn công (ASR) trung bình 99.6% với BAD không đáng kể, trung bình 0.06%. Con số này vượt trội so với các phương pháp trước đây như TBT, TBA và DeepVenom, vốn yêu cầu lật hàng chục đến hàng nghìn bit.

Hiệu quả của cuộc tấn công mạng ONEFLIP bắt nguồn từ thuật toán lựa chọn trọng số trực tiếp, tránh các tìm kiếm tối ưu hóa lặp đi lặp lại được sử dụng trong các cuộc tấn công mô hình lượng tử hóa. Khả năng thích ứng của nó với các DNN khác nhau nhấn mạnh sự phổ biến của các trọng số đủ điều kiện trong các lớp phân loại.

Khả Năng Vượt Qua Các Biện Pháp Phòng Thủ

ONEFLIP thể hiện khả năng chống chịu mạnh mẽ trước các biện pháp phòng thủ backdoor. Nó né tránh các phương pháp phát hiện như Neural Cleanse, vốn nhắm vào các cuộc tiêm độc trong giai đoạn đào tạo, bằng cách hoạt động ở thời điểm suy luận. Đây là một mối đe dọa mạng đáng lo ngại.

Giảm thiểu thông qua đào tạo lại bị chống lại thông qua một chiến lược thích ứng. Chiến lược này tuần tự lật các bit liền kề, duy trì ASR cao (lên đến 99.9%) do khả năng chuyển giao của trigger.

Các biện pháp phòng thủ lọc đầu vào có thể gặp khó khăn trước các trigger ẩn của ONEFLIP. Các trigger này có thể tích hợp các kỹ thuật vô hình tiên tiến, làm tăng thêm mức độ nghiêm trọng của mối đe dọa mạng này.

Giải Pháp Giảm Thiểu Và Bảo Vệ Hệ Thống AI

Lỗ hổng này làm nổi bật sự cần thiết của các biện pháp giảm thiểu phần cứng nâng cao, chẳng hạn như các mã sửa lỗi DRAM được cải thiện. Ngoài ra, việc kiểm tra tính toàn vẹn của mô hình định kỳ cũng rất quan trọng để bảo vệ các triển khai AI khỏi các tấn công mạng chính xác, chi phí thấp như vậy.

Các nhà nghiên cứu đã phát hành mã nguồn để tái tạo kỹ thuật này, nhấn mạnh giao điểm phần cứng-phần mềm quan trọng trong an ninh mạng DNN. Thông tin chi tiết có thể được tìm thấy tại USENIX Security.

Sự xuất hiện của ONEFLIP là lời nhắc nhở rằng các nhà phát triển và chuyên gia an ninh mạng cần liên tục cập nhật và tăng cường các biện pháp phòng vệ. Đặc biệt là đối với các hệ thống AI đang ngày càng được ứng dụng rộng rãi. Đây là một cuộc tấn công mạng tinh vi, đòi hỏi sự chú ý đặc biệt từ cộng đồng bảo mật.