19.3.3 Hardver-specifikus exploitok

2025.10.06.
AI Biztonság Blog

Képzeld el, hogy nem a szoftvert, hanem magát a szilíciumot „hallgatod le”. A neuromorf chipek, amelyek az agy analóg és eseményvezérelt működését utánozzák, radikálisan eltérnek a hagyományos, digitális von Neumann-architektúráktól. Ez az eltérés nem csupán teljesítménybeli előnyökkel jár, hanem egy teljesen új, fizikai szintű támadási felületet is megnyit. Itt a támadó nem a kódban, hanem az áramkörök fizikai viselkedésében keresi a sebezhetőséget.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Míg az előző fejezetben az események (tüskék) logikai manipulálásával foglalkoztunk, most egy szinttel lejjebb lépünk. 

Mi történik, ha közvetlenül a hardver által generált fizikai jeleket használjuk fel, vagy ha szándékosan zavarjuk meg a chip fizikai működését?

A hardver mint információszivárgás forrása: Oldalcsatorna-támadások

A neuromorf rendszerek működésükből adódóan „zajosak”. Minden egyes neuron tüske egy apró fizikai esemény, ami energiafogyasztással és elektromágneses (EM) kisugárzással jár. Egy támadó számára ezek a melléktermékek nem zajok, hanem értékes információmorzsák. Az oldalcsatorna-támadások (Side-Channel Attacks, SCA) pont ezeket a nem szándékolt információs csatornákat használják ki.

Teljesítményanalízis (Power Analysis)

Egy neuromorf chip energiafelvétele közvetlen korrelációban áll a hálózatban zajló tüskeaktivitással. Egy komplexebb bemenet (pl. egy részletgazdag kép) több neuront aktivál, ami mérhetően megnöveli a chip áramfelvételét. 

Egy támadó, aki precízen méri a chip tápellátását, következtetéseket vonhat le a feldolgozott adatok természetére vonatkozóan anélkül, hogy hozzáférne magukhoz az adatokhoz!

Például egy arcfelismerő rendszer esetében a különböző arcok más-más tüske-mintázatot és így eltérő energiafogyasztási profilt generálnak. Elegendő mintavételezéssel a támadó képes lehet egy „energia-ujjlenyomat” könyvtárat felépíteni, és később csupán a chip energiafelvételének monitorozásával azonosítani, hogy a rendszer melyik ismert arcot dolgozza fel.

// Pszeudokód egy egyszerű teljesítményanalízis alapú következtetésre
function infer_input_from_power(power_trace):
 // 1. Létrehozunk egy könyvtárat ismert bemenetek energia-profiljából
 power_profiles = {
 "user_A_face": load_profile("profile_A.dat"),
 "user_B_face": load_profile("profile_B.dat"),
 "unknown_input": load_profile("noise_profile.dat")
 }

 // 2. Összehasonlítjuk a mért energiafelvételt a profilokkal
 min_distance = infinity
 best_match = "Nincs egyezés"

 for name, profile in power_profiles.items():
 distance = calculate_distance(power_trace, profile) // Pl. dinamikus idővetemedés (DTW)
 if distance < min_distance:
 min_distance = distance
 best_match = name
 
 // 3. Visszaadjuk a legvalószínűbb bemenetet
 return best_match

Elektromágneses lehallgatás (EM Eavesdropping)

Az elv hasonló a teljesítményanalízishez, de itt a támadó nem a tápvezetéket, hanem a chip által kibocsátott elektromágneses sugárzást méri egy közeli antennával. Az EM-szivárgás még finomabb részleteket árulhat el, mivel térben is lokalizálható. Egy kellően érzékeny vevővel akár az is megállapítható lehet, hogy a chip melyik fizikai régiójában zajlik a legnagyobb aktivitás, ami további információt szolgáltathat a feldolgozási folyamatról.

A számítás manipulálása: Hibainjektálás (Fault Injection)

Míg az oldalcsatorna-támadások passzív lehallgatáson alapulnak, a hibainjektálás (más néven „glitching”) egy aktív támadási forma. 

A cél itt az, hogy a chip fizikai környezetének rövid idejű, precízen időzített megzavarásával számítási hibákat idézzünk elő, amelyek a támadó számára kedvező kimenetelt eredményeznek.

Feszültséghibák (Voltage Glitching)

A támadó egy pillanatra lecsökkenti vagy megnöveli a chip tápfeszültségét. Egy neuromorf rendszerben ennek katasztrofális, de potenciálisan kihasználható következményei lehetnek. 

Egy feszültségingadozás miatt:

  • Egy neuron, amelynek éppen el kellett volna érnie a tüzelési küszöböt, „elhallgat”.
  • Egy neuron, amelynek csendben kellett volna maradnia, tévesen tüzel.
  • A szinaptikus súlyokat tároló analóg memóriacellák értéke megsérülhet.

Egy jól időzített feszültséghiba egy biztonsági ellenőrzőpont (pl. egy „access granted” / „access denied” döntést hozó neurális réteg) kimenetelét billentheti át a támadónak kedvező irányba!

Órajel-zavarás (Clock Glitching)

Bár sok neuromorf rendszer aszinkron, a legtöbb hibrid implementáció használ valamilyen belső órajelet az események szinkronizálására vagy az időbélyegek kezelésére. 

Az órajel rövid idejű felgyorsítása vagy lelassítása káoszt okozhat a tüskék időzítésében, ami a Tüskés Neurális Hálózatok (SNN) esetében a kódolt információ teljes elvesztését vagy meghamisítását jelentheti. Mivel az SNN-ekben az információt gyakran a tüskék közötti időbeli különbség hordozza, az időzítés megzavarása egy alapvető támadási vektor.

Beépített árulók: Neuromorf hardveres trójaiak

A legkifinomultabb hardveres támadás a hardveres trójai bejuttatása a chipbe, jellemzően a gyártási folyamat során. Egy neuromorf trójai nem feltétlenül egy extra digitális áramkör, ami adatokat szivárogtat. Lehet sokkal alattomosabb is: egy extra neuron vagy egy kis neurális áramkör, amely normál működés közben inaktív, de egy specifikus, ritka bemeneti tüske-mintázatra (a „triggerre”) aktiválódik.

Amikor a trójai aktiválódik, képes lehet:

  • Egy gátló szinapszissal elhallgattatni egy kulcsfontosságú neuront (pl. egy anomáliadetektáló neuront).
  • Egy serkentő szinapszissal téves tüzelésre kényszeríteni egy másikat, hogy egy adott kategóriát hozzon ki győztesnek.
  • Megváltoztatni a hálózat dinamikáját, hogy az egy előre meghatározott, hibás döntést hozzon.
Normál működés A B C Bemenet Kimenet Trójai aktiválódása A B C’ T Trigger Manipuláció
Egy hardveres trójai (T) egy specifikus trigger bemenetre aktiválódik, és módosítja a hálózat egy neuronjának (B) viselkedését, ami hibás kimenethez (C’) vezet.

AI Red Teaming szempontok és védekezési stratégiák

A neuromorf rendszerek hardveres RAI ed Teaming-je speciális eszközöket és mély fizikai ismereteket igényel. 

A támadási vektorok nem a szoftveres absztrakciók szintjén, hanem a feszültség, időzítés és elektromágneses tér szintjén léteznek.

Az alábbi táblázat összefoglalja a tárgyalt támadásokat Red Teaming szemszögből:

Támadási Vektor Kihasznált Fizikai Jelenség Potenciális Hatás Lehetséges Védekezés
Teljesítményanalízis Aktivitásfüggő energiafelvétel Bemeneti adatok vagy belső állapotok kiszivárogtatása Áramkörök az energiafelvétel simítására, zajgenerálás, hardveres maszkolás
Feszültséghibák (Glitching) A félvezetők érzékenysége a tápfeszültségre Döntési folyamat manipulálása, biztonsági ellenőrzések kikerülése Feszültség-monitorozó áramkörök, redundancia, hibatűrő neurális kódolás
Hardveres Trójai Manipulált áramköri elemek a chipben Rejtett hátkapu, feltételhez kötött hibás működés Biztonságos és ellenőrzött ellátási lánc, gyártás utáni fizikai ellenőrzés (pl. röntgen), anomáliadetektálás

Ezek a támadások rávilágítanak, hogy a neuromorf AI biztonsága nem állhat meg a szoftveres szinten. A hardver és a szoftver közötti határ elmosódásával a védekezésnek is holisztikusnak kell lennie, amely magában foglalja az áramköri tervezést, a fizikai elrendezést és a gyártási folyamatokat is.

19.3.2 Esemény alapú támadási vektorok

2025.10.06.

20.1.1 Ellenséges példák létezésének matematikája

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit