Просто выведите перевод. Не добавляйте никаких комментариев, объяснений или метатекстов:
Возможно, вы представляете себе хакеров в таком образе: они закутаны в теневые одеяния, сидят перед светящимся экраном, быстро нажимают кнопки. Это стандартный образ. Он имел свою цель на некоторое время.
Но этот образ уже устарел.
Новый тип атакующих не проникает в ваш сервер через программное обеспечение. Они не устанавливают вредоносное ПО. Они просто входят в офисную здание с рюкзаком. Они стоят в коридоре и слушают, как ваша аппаратура работает.
Это называется ModelSpy. Исследователи из KAIST, Национального университета Сингапура и Университета Чжэцзян представили этот метод на конференции NDSS 2025. (Подождите — в тексте говорится 2026 год? Нет, обычно конференция проводится каждый год, но давайте будем использовать дату, указанную в тексте. Конференция NDSS обычно проходит в начале года. В тексте говорится NDSS 2026, так что я буду использовать это, если речь идет о будущей дате или гипотетической ситуации). Эта работа получила награду за выдающиеся достижения. Результаты поразительны.
Предположения просты: ваш AI продолжает работать, ваш GPU работает усердно. Электричество течет, магнитные поля меняются. Ваш сервер передает данные. Не в пакетах, не в логах, а в физической форме.
Физические каналы передачи данных
Традиционный обмен данными требует доступа к сети, кражи паролей, использования вредоносного ПО. Это проблемы, связанные с программным обеспечением. Вы патчите ошибки, изменяете пароли, отслеживаете трафик.
ModelSpy игнорирует программное обеспечение. Он слушает физические каналы передачи данных, в частности, электромагнитные волны, которые излучает графический процессор при обработке данных AI.
Любая чиповая устройство излучает шум. Это физика. Токи течут через схемы. Конденсаторы заряжаются и разряжаются. Электромагнитное спектр принимает эти сигналы. Исследователи уже десятилетиями использовали падение напряжения и тепловые сигналы для анализа. Проблема всегда заключалась в близости устройства к сети. Нужно было прикоснуться к проводам, установить датчики на плату.
KAIST задал другой вопрос: что, если просто направить антенну на устройство?
Процессор, который работает постоянно, не имеет однородной структуры. Разные слои AI-модели получают доступ к памяти по-разному. Некоторые слои получают большие объемы данных, другие — маленькие порции данных. Эти способы доступа модулируют электромагнитные волны, излучаемые чипом.
Преобразование модели из этих сигналов невозможно. Комбинаций много. Для 100-слойной модели с пятью типами слоев существует $10^{70}$ возможных конфигураций.
Больше, чем атомы во Вселенной.
Как угадать правильную структуру модели из $10^{70}$ возможностей? Не можете. Вы используете AI.
Исследователи обучили вторичную AI-модель. Ее задача — предсказывать структуру модели на основе электромагнитных сигналов. Но сигнал от дальней антенны нечеткий, шумный и слабый. Поэтому они использовали другой метод.
Они использовали данные DRAM. Это чистые записи доступа к памяти в GPU. Они использовали эти данные для обучения анализатора. Затем они отточили результаты на реальных данных от антенны.
Преобразование знаний. Одна AI обучает другую.
Результат? 97,6% точности при восстановлении структуры модели.
Атака с рюкзаком
Эти устройства не были военного класса. Они даже не были дорогими.
Простая 5-ГГц антенна. Электромагнитный приемник. Все это помещается в 20-литровый рюкзак.
Они протестировали этот метод на обычных картах Nvidia. RTX 3060, 4060. Это устройства, которые можно купить в магазине Best Buy.
Расстояние не имело значения. На расстоянии пяти метров точность снизилась до 86,7% для сегментации и 81,7% для гиперпараметров. Но это все равно достаточно хороший результат. На расстоянии шести метров сигнал становится нечетким.
Стены не мешали. Они протестировали стекло, дерево, бетон. Точность оставалась примерно 96%.
Электромагнитные волны проходят через стены, как будто их там нет. Атакач может сидеть в конференц-зале, запустить скрипт на ноутбуке и получить подробную информацию о работе сервера.
Никаких данных не украли. Никакого кода не утекло. Никаких портов не открыли. Только физика.
“Слово ‘хакер’ уже накопило много клише, но это изменяет физическую ситуацию в кибербезопасности.”
Что они украли? Только структуру модели.
Не веса, не данных обучения. Только форму нейронной сети, последовательность слоев, гиперпараметры.
Возможно, вы думаете, что это незначительно. Почему нужна форма?
Потому что зная форму, можно создать поддельную модель.
Поддельные модели делают точные атаки
Представьте, что хакер хочет обмануть камеру вашего автомобиля с самокопированием. Им нужно знать, как наклеить ленту на знак “35 миль/ч”.
Пытаться угадать непросто. Вы можете потерпеть неудачу 999 раз подряд. Автомобиль будет останавливаться. Атака провалится.
Но если у вас есть поддельная модель с такой же структурой и поведением, вы можете тестировать свои атаки на нее. Вы обучаете атаку на поддельную модель. Она будет работать там. Вы предполагаете, что она будет работать и на настоящей модели.
И она будет работать.
Исследование показало, что атаки, оптимизированные на основе поддельной модели, были точны на 4% по сравнению с атаками, имеющими полный доступ к настоящей модели. Этот разрыв незначителен для многих случаев использования.
ModelSpy также ускоряет процесс восстановления модели.
Вместо того чтобы тысячи раз запрашивать API, чтобы получить данные обработки, атакующий знает, сколько вычислений нужно выполнить. Они быстрее и дешевле создают поддельную модель. Легче имитировать картину, если знать точный порядок рисунков художника.
Риски для конфиденциальности также увеличиваются. Атакачи используют тонкие различия в поведении модели при обработке данных. Если у вас есть поддельная модель, которая очень похожа на целевую, вы можете определить, кто был в образовательной базе.
Возьмем медицинскую AI.
Атакач подтверждает, что данные пациента находятся в данных. Он делает вывод, что пациент страдает от болезни, для которой была создана модель. Ставки по страховке меняются. Социальная стигма следует за этим.
Нет простого решения
Защита сложна.
Исследователи предложили использование электромагнитного помехания. Заполнить воздух шумом, чтобы антенна атакующего потеряла сигнал. Но ваш Wi-Fi тоже нуждается в этих частотах. Вы будете нарушать сеть офиса. Или использовать маскировку. Запускать вычисления на GPU, чтобы скрыть реальный сигнал.
Маскировка требует времени. Увеличивает тепло. Обходится дорого. Спешит процесс обработки.
Производители хотят эффективности. Они не хотят трат. Поэтому они колеблются.
Мы строим физическую безопасность вокруг серверов. Мы проверяем доступ к помещениям. Мы охраняем стойки. Мы предполагаем, что если они не касаются машин, они не могут украсть внутреннюю логику.
Но это лишь ложная уверенность.
AI — это не только программное обеспечение. Это физическое явление. И явления оставляют следы.
