EO_508

DIGITAL CYBERSECURITY Tipi di attacchi ostili Per comprendere i molti tipi di attacchi ostili, è neces- sario esaminare la pipeline di sviluppo TinyML conven- zionale riportata nella figura 3. Osservando la figura, si può vedere che inizialmente l’addestramento viene ese- guito offline, di solito nel cloud, seguito dall’eseguibile binario finale ottimizzato e che viene caricato sull’MCU e utilizzato tramite chiamate alle API. Il flusso di lavoro richiede un esperto di machine learning e un progettista embedded. Poiché queste due figure tendono a lavorare in team separati, il nuovo panorama della sicurezza può creare confusione sulla divisione delle responsabilità tra le varie parti interessate. Gli attacchi ostili possono verificarsi nelle fasi di adde- stramento o di inferenza. Durante l’addestramento, un utente malintenzionato potrebbe tentare un “avvele- namento del modello” che può essere di tipo mirato o non mirato. Nell’avvelenamento mirato del modello, un utente malintenzionato contaminerebbe il set di dati di addestramento/il modello di base dell’AI dando origine a una “backdoor” (porta di accesso) che può essere at- tivata da un input arbitrario per ottenere un determina- to output, ma che funziona correttamente con gli input previsti. La contaminazione potrebbe essere una piccola perturbazione che non influisce sul funzionamento pre- visto (come precisione del modello, velocità di inferenza e così via) del modello, dando così l’impressione che non esistano problemi di sorta. Ciò non richiede inoltre che l’attaccante debba prendere e utilizzare un clone del si- stema di addestramento per verificare il funzionamento poiché il sistema stesso è stato contaminato e influenze- rebbe ubiquitariamente qualsiasi sistema che utilizza il modello/set di dati avvelenato. Questo era l’attacco usato sui cloni in Star Wars. L’avvelenamento non mirato del modello o attacco Bi- zantino si verifica quando l’attaccante intende ridurre le prestazioni (precisione) del modello e bloccare l’adde- stramento. Ciò richiederebbe il ritorno a un punto ante- cedente al momento in cui è avvenuta la compromissione del modello/set di dati (potenzialmente dall’inizio). Oltre alla formazione offline, l’apprendimento federa- to (collaborativo) - una tecnica in cui i dati raccolti dagli endpoint vengono utilizzati per riaddestrare/migliorare il modello cloud - risulta intrinsecamente vulnerabile a causa della natura decentralizzata dell’elaborazione: essa, infatti, consente agli aggressori di partecipare con dispositivi endpoint compromessi, il che implica inevi- tabilmente la compromissione del modello in cloud. Ciò potrebbe avere ripercussioni gravi e di notevole entità, in quanto lo stesso modello in cloud potrebbe essere utiliz- zato su milioni di dispositivi. Durante la fase di inferenza, un hacker può optare per la tecnica di “evasione del modello” in cui interroga ite- rativamente il modello (ad esempio, un’immagine) e ag- giunge del rumore all’input per capire come si comporta il modello. In tal modo, l’hacker potrebbe potenzialmen- te ottenere un output specifico/richiesto, ovvero una de- cisione logica dopo aver regolato il proprio input un nu- mero sufficiente di volte senza utilizzare l’input previsto. Tale interrogazione potrebbe anche essere utilizzata per “l’inversione del modello”, in cui le informazioni sul mo- dello o i dati di addestramento vengono estratti in modo simile. Analisi dei rischi durante lo sviluppo di applicazioni AI su TinyML Per la fase di inferenza, gli attacchi ostili ai modelli di intelligenza artificiale sono un campo di ricerca attivo, in cui il mondo accademico e quello industriale si sono allineati per lavorare e indagare su tali questioni e hanno sviluppato “ ATLAS – Adversarial Threat Landscape for Artificial-Intelligence Systems!”, una matrice che con- sente agli analisti di sicurezza informatica di valutare il rischio per i loro modelli. Ci sono casi d’uso per tutto il Fig. 3 – Flusso di lavoro TinyML end-to-end ELETTRONICA OGGI 508 - MARZO 2023 47