19.3.1. Tüskés neurális hálózat sebezhetőségek

2025.10.06.
AI Biztonság Blog

A hagyományos mesterséges neurális hálózatok (ANN – Artificial Neural Network) világából a tüskés neurális hálózatok (SNN – Spiking Neural Network) felé fordulva nem csupán egy új architektúrát kapunk, hanem egy teljesen új működési paradigmát! 

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az információ itt már nem lebegőpontos számok statikus tenzoraiban áramlik, hanem diszkrét események, ún. tüskék (spikes) sorozatában, időben elosztva. Ez a biológiai ihletettségű, eseményvezérelt természet rendkívül energiahatékonnyá teszi őket, de egyúttal egyedi, korábban nem látott sebezhetőségi felületeket is nyit. 

AI red teaming szempontjából ez azt jelenti, hogy a támadási vektoroknál már nem csupán a „mit„, hanem a „mikor” is kritikus információmorzsát hordoz.

Az SNN-ek sebezhetőségeinek megértéséhez el kell szakadnunk a pixelmanipuláció klasszikus világától, és az időbeli dimenzió, az energiafogyasztás és a hardver-szoftver rendszerek mélyebb rétegeibe kell ásnunk.

Az SNN-specifikus támadási felületek

Míg az SNN-ek is örökölnek bizonyos sebezhetőségeket az ANN-ektől (pl. a betanító adatok mérgezése), az igazi újdonságot a működési elvükből fakadó, teljesen új támadási osztályok jelentik.

Időbeli (Temporális) Manipuláció

Ez a leginkább SNN-specifikus támadási osztály. Mivel a kimenetet a beérkező tüskék pontos időzítése, frekvenciája és sorrendje határozza meg, ezeknek a paramétereknek a minimális módosítása is drámai hatással lehet a hálózat döntésére. A támadó célja, hogy a bemeneti tüskevonatot (spike train) úgy manipulálja, hogy az emberi szemlélő vagy más szenzor számára észrevehetetlen maradjon, de a hálózatot téves következtetésre vezesse.

  • Spike Injection (Tüske beillesztése): A támadó extra tüskéket illeszt a bemeneti adatfolyamba, megzavarva ezzel a neuronok tüzelési mintázatát. Egyetlen, stratégiailag rossz helyre és időbe tett tüske is elegendő lehet egy klasszifikáció megváltoztatásához.
  • Spike Deletion (Tüske törlése): Kritikus információt hordozó tüskék eltávolítása a bemeneti jelből. Ez információszűkét okoz, ami hibás döntéshez vezethet.
  • Timing Jitter (Időzítési remegés): A tüskék időzítésének finom, véletlenszerűnek tűnő eltolása. Bár egyenként a változások minimálisak, kollektíven szétzilálhatják a hálózat által felismert temporális mintázatokat.
Hagyományos Adversarial Támadás (ANN) 3 + Zaj (ε) = 8 Besorolás: „8” (Eredeti: „3”) Temporális Támadás (SNN) Eredeti tüskevonat: → „3” Manipulált tüskevonat: Késleltetés (Δt) → „8” Egyetlen tüske időzítésének finom eltolása megváltoztatja a kimenetet.

Energia-alapú és Mellékcsatorna Támadások

Az SNN-ek egyik fő vonzereje az alacsony energiafogyasztás, ami a „számítás csak szükség esetén” elvből fakad. Ez a tulajdonság azonban fegyverként is használható. Egy támadó olyan bemenetet hozhat létre, amely szándékosan maximalizálja a hálózat tüzelési aktivitását

Ez nem csak a rendszer energiafogyasztását növeli meg drasztikusan (Denial of Service jellegű támadás beágyazott rendszereken), de az energiafelhasználás mintázatának elemzésével (mellékcsatorna-támadás) információt szerezhet a modell belső működéséről vagy a feldolgozott adatról.

Hardver-specifikus Sebezhetőségek

Az SNN-eket gyakran specializált neuromorf hardverekre tervezik (pl. Intel Loihi, IBM TrueNorth). Ez a szoros hardver-szoftver integráció újabb támadási felületet teremt. A támadások kihasználhatják az analóg komponensek fizikai tökéletlenségeit, a szinaptikus súlyok tárolásának módját, vagy a chipek közötti kommunikációs protokollokat. 

A fault injection (hibainjektálás), ahol a hardver működését feszültségingadozással vagy elektromágneses impulzusokkal zavarják meg, különösen hatékony, mivel egyetlen neuron hibás tüzelése is lavinaszerű hatást indíthat el a hálózatban.


# Pszeudokód egy temporális támadásra: tüske késleltetése
# Cél: egy képfelismerő SNN megtévesztése

függvény TuskeKésleltetőTámadás(bemeneti_tüskevonat, cél_osztály, érzékenységi_térkép):
 # 1. Meghatározzuk a legbefolyásosabb tüskét a cél_osztály szempontjából
 # Az érzékenységi térkép megmutatja, melyik neuron melyik időpillanatban
 # a legkritikusabb a döntés szempontjából.
 kritikus_neuron, kritikus_idő = find_most_influential_spike(érzékenységi_térkép, cél_osztály)

 # 2. Létrehozzuk a manipulált tüskevonatot
 manipulált_vonat = bemeneti_tüskevonat.másolat()

 # 3. A kritikus tüske időpontjának enyhe módosítása (késleltetés)
 delta_t = 0.05 # Kis időbeli eltolás
 eredeti_tüske = manipulált_vonat.get_spike(kritikus_neuron, kritikus_idő)
 if eredeti_tüske exists:
 manipulált_vonat.remove_spike(eredeti_tüske)
 manipulált_vonat.add_spike(kritikus_neuron, kritikus_idő + delta_t)

 # 4. A módosított tüskevonat visszaadása
 return manipulált_vonat

ANN vs. SNN sebezhetőségek összehasonlítása

Sebezhetőség Típusa Megnyilvánulása ANN-ben Megnyilvánulása SNN-ben
Bemeneti Manipuláció Pixel/jellemző értékek finom módosítása (pl. FGSM). A támadás a bemeneti adatok amplitúdóját célozza. Tüskék időzítésének, frekvenciájának, hozzáadásának vagy törlésének manipulálása. A támadás a bemenet temporális szerkezetét célozza.
Strukturális Támadás Súlyok módosítása, neuronok „halálának” előidézése (pl. trójai modellek). Hasonló, de kiterjesztve a szinaptikus késleltetések és a neuronok membránpotenciáljának küszöbértékeinek manipulálására.
Mellékcsatorna Támadás Energiafogyasztás vagy számítási idő elemzése a modell architektúrájának vagy a bemenetnek a kinyerésére. Sokkal gazdagabb felület: a tüzelési ráta közvetlenül korrelál az energiafogyasztással, így a támadásokkal célzottan lehet túlfogyasztást (DoS) előidézni vagy a tüzelési mintázatokból következtetni.
Hardver-specifikus GPU/TPU memóriahibák, bit-flipping támadások kihasználása. Neuromorf chipek analóg komponenseinek pontatlanságai, on-chip tanulási szabályok vagy axon/szinapszis útválasztás kihasználása.

AI Red Teaming Konzekvenciák

Egy AI red team számára az SNN-ek világa új gondolkodásmódot igényel. Az eszköztárunkat ki kell egészíteni olyan eszközökkel, amelyek nem statikus tenzorokat, hanem eseményfolyamokat képesek elemezni és manipulálni! 

A fókusz a bemeneti értékekről az időbeli viszonyokra helyeződik át. Meg kell értenünk a bemeneti adatok kódolásának (pl. rate coding, latency coding) sebezhetőségeit, mivel ez az első kapu a támadások számára.

A jövő AI red teamerének nemcsak a szoftveres modellekkel, hanem a mögöttük lévő neuromorf hardverek fizikai korlátaival és tulajdonságaival is tisztában kell lennie. Az SNN-ek elleni sikeres támadás gyakran a szoftveres, az algoritmikus és a hardveres rétegek közötti határok elmosását és az ott rejlő gyengeségek kihasználását jelenti.

19.2.4 Hibrid klasszikus-kvantum rendszerek

2025.10.06.

19.3.2 Esemény alapú támadási vektorok

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit