最新AI技術にDoS攻撃のリスク、大量の電力消費の可能性
知性を宿す機械

AI consumes a lot of energy. Hackers could make it consume more. 最新AI技術にDoS攻撃のリスク、大量の電力消費の可能性

メリーランド・サイバーセキュリティー・センターの研究チームは、最新世代のニューラル・ネットワークへの入力データに少量のノイズを加えることで、必要以上の計算資源を占有させ、AIの「思考」を妨害する攻撃の可能性について発表した。 by Karen Hao2021.05.13

人工知能(AI)システムのエネルギー消費を増加させる新たなタイプの攻撃が登場するかもしれない。インターネットでのサービス不能攻撃(DoS:Denial-of-Service)がネットワーク・トラフィックを輻輳させることでサービスを使用できなくするのと同様に、この新たな攻撃は、深層ニューラル・ネットワークに必要以上の計算資源を占有させることで「思考」プロセスを減速させる。

近年、大規模AIモデルの高コストなエネルギー消費に対する懸念が高まり、研究者らはよりエネルギー効率のよいニューラル・ネットワークを設計するようになっている。その一つである「入力適応型複数出口アーキテクチャー(input-adaptive multi-exit architectures)」は、問題の難易度に基づいてタスクを分割し、それぞれの解決に必要となる最小限の計算資源を消費する。

例えば、完璧な照明の下でカメラをまっすぐ見ているライオンの写真と、複雑な風景の中で身を屈めていて体の一部が見えないライオンの写真があるとしよう。従来のニューラル・ネットワークは、両方の写真をすべてのレイヤーに通し、同じ量の計算を実行してそれぞれの写真にラベル付けをする。しかし、入力適応型複数出口ニューラル・ネットワークは、カメラをまっすぐ見ているライオンの写真については、最初のレイヤーに通すだけで、それが何であるかを判断するのに必要十分な確信度のしきい値(threshold of confidence)に達することができる。これにより、モデルの二酸化炭素排出量を減少できるだけでなく、速度も向上し、スマートフォンやスマート・スピーカーなどの小型デバイスにも展開できるようになる。

逆に言えば、この種のニューラル・ネットワークは、入力される画像など、与えられる入力データに変更を加えれば、それを解決するために費やす必要のある計算量を変更できるということになる。メリーランド・サイバーセキュリティー・センターの研究チームは、この性質により、ハッカーが悪用できる脆弱性が高まることについて、5月の学習表現に関する国際会議(ICLR: International Conference on Learning Representations)で概説した。ネットワークへの入力データに、少量のノイズを追加し、入力データをより難しいものであると認識させることで、必要以上の計算量を費やさせたのだ。

研究チームによると、攻撃者がニューラル・ネットワークに関する完全な情報を持っていると想定した場合には、攻撃者はネットワークのエネルギー消費量を限界まで高めることができたという。攻撃者が持っている情報が限られている、あるいはまったく情報を持っていないと想定した場合でも、攻撃者はネットワークの処理速度を低下させ、エネルギー消費量を20%から80%増やすことができた。その理由は、研究チームが見い出したように、攻撃がさまざまな種類のニューラル・ネットワークにまたがってうまく伝達するからだ。1つの画像分類システム向けに攻撃を設計するだけで、他の多くのシステムを妨害するのに十分であると、論文の共著者である博士課程生のイギットカン・カヤは述べている。

ただし、この種の攻撃は今のところ理論上のものである。入力適応型アーキテクチャーは、現実世界での応用はまだ一般的ではない。しかし、研究チームは、スマートホームやその他のIoTデバイスといった、より軽量のニューラル・ネットワークの展開を求める産業界からの要望により、状況は急速に変化すると考えている。研究の助言者であるメリーランド大学のチューダー・ドゥミトラシュ教授は、この種の脅威がもたらす被害を理解するにはさらに多くの研究が必要だとしつつ、今回の論文は意識を高める第一歩だと付け加える。「重要なのは、新たな脅威のモデルを示し、この種の攻撃が実行される可能性があるのだという事実に、人々の注意を向けさせることです」。