Hacker könnten Energieverbrauch von KI hochtreiben
Die neueste Generation neuronaler Netze ist anfällig für eine neue Art von Angriff, bei dem sie zu viel Energie verbrauchen.
(Bild: Taylor Vick / Unsplash)
- Karen Hao
Eine neue Art von Angriff könnte den Energieverbrauch von Künstliche-Intelligenz-Systemen (KI) massiv in die Höhe treiben. Ebenso wie ein Denial-of-Service-Angriff im Internet versucht, ein Netzwerk zu verstopfen und unbrauchbar zu machen, zwingt die neue Angriffsart ein tiefes neuronales Netz dazu, mehr Rechenressourcen als nötig zu binden und so seinen Denkprozess zu verlangsamen.
Fieses Rauschen
In den letzten Jahren hat die wachsende Besorgnis über den kostspieligen Energieverbrauch großer KI-Modelle Forscher dazu veranlasst, effizientere neuronale Netze zu entwerfen. Eine Kategorie, die als input-adaptive Multi-Exit-Architektur bezeichnet wird, teilt Aufgaben nach ihrer Schwierigkeit auf. Es verbraucht dann für jede Lösung nur die minimal nötigen Rechenressourcen.
Angenommen, es sollen zwei Löwen-Fotos beschriftet werden, in denen ein Tier mit perfekter Beleuchtung direkt in die Kamera schaut, und das andere in einer komplexen Landschaft kauert und nur teilweise sichtbar ist. Ein traditionelles neuronales Netzwerk würde beide Fotos durch alle seine Ebenen führen und den gleichen Rechenaufwand für die Beschriftung der einzelnen Ebenen aufwenden. Ein input-adaptives neuronales Multi-Exit-Netzwerk könnte beim ersten Foto bereits nach einer Schicht die erforderliche Vertrauensschwelle erreichen, um das Bild korrekt zu etikettieren. Das verringert den CO2-Fußabdruck des Modells, verbessert aber auch seine Geschwindigkeit und ermöglicht den Einsatz auf kleinen Geräten wie Smartphones und Smart-Lautsprechern.
Doch der Vorteil solch adaptiver KI-Netzwerke birgt gleichzeitig auch einen Nachteil: Da sich bei einer neuen Eingabe wie einem Bild der Energieaufwand ändern kann, eröffnet das eine Sicherheitslücke für Hacker. Davor warnen Forscher des Maryland Cybersecurity Center in einem Fachartikel, der Anfang Mai auf einer internationalen Konferenz vorgestellt wurde. Wurde nämlich der Input mit kleinen Rauschmengen versehen, nahm ihn das Netzwerk als schwieriger wahr und fuhr den Rechenaufwand hoch.
Ein neues Bedrohungsszenario
Nahmen die Forscher an, dass der Angreifer das neuronale Netzwerk in- und auswendig kannte, ließ sich dessen Energieverbrauch ans Limit bringen. Selbst wenn die Wissenschaftler annahmen, dass der Angreifer keine näheren Informationen hatte, konnten sie die Netzwerkverarbeitung verlangsamen und den Energieverbrauch um 20 bis 80 Prozent steigern. Der Grund dafür ist, dass sich die Angriffe gut auf verschiedene Arten von neuronalen Netzen übertragen lassen. Ein auf ein bestimmtes Bildklassifizierungssystem zugeschnittener Angriff kann auch viele andere empfindlich stören, sagt Yiğitcan Kaya, Doktorand und Mitautor des Artikels.
Die Sorge ist bislang noch theoretisch, denn input-adaptive Architekturen kommen erst selten zum Einsatz. Die Forscher glauben jedoch, dass sich das durch den Druck auf die Branche, leichtere neuronale Netze beispielsweise für Smart Home und andere IoT-Geräte (Internet of Things) anzubieten, schnell ändern wird.
Tudor Dumitraş von der Alexandru Ioan Cuza Universität in Iaşi, der das Forschungprojekt beraten hat, hält weitere Forschung darüber für nötig, inwieweit diese Bedrohungsart Schaden anrichten könnte. Die Veröffentlichung sei jedoch ein erster Schritt zur Sensibilisierung: "Für mich ist es wichtig, die Aufmerksamkeit der Menschen darauf zu lenken, dass es ein neues Bedrohungsmodell gibt und solche Angriffe möglich sind." (bsc)
