Este novo ataque de IA rouba modelos sem tocar no sistema.

gurinho

Os sistemas de IA têm sido tratados há muito tempo como caixas-pretas seladas, especialmente em áreas como reconhecimento facial e direção autônoma. Novas pesquisas sugerem que essa proteção não é tão sólida quanto se supunha.

Uma equipe liderada pelo KAIST demonstra que sistemas de IA podem ser submetidos a engenharia reversa remotamente, utilizando emissões que vazam durante a operação normal, sem intervenção direta. Em vez disso, a abordagem utiliza a escuta ativa.

Usando uma pequena antena, os pesquisadores capturaram tênues sinais eletromagnéticos de GPUs e reconstruíram o projeto original do sistema. Parece um truque de ladrão, mas os resultados são válidos e as implicações para a segurança são imediatas.

Como funciona o canal lateral

O sistema, chamado ModelSpy, coleta a emissão eletromagnética produzida enquanto as GPUs processam cargas de trabalho de IA. Esses rastros são sutis, mas seguem padrões relacionados à forma como a arquitetura está organizada.

Hardware de computador, Eletrônica, Hardware
Estruturas de modelos de IA podem ser roubadas através de paredes usando uma antena escondida em uma bolsa ( artigo apresentado no NDSS Symposium 2026 por Jun Han et al.).

Ao analisar esses padrões, a equipe inferiu detalhes importantes, incluindo configurações de camadas e escolhas de parâmetros. Os testes mostraram que as estruturas principais podiam ser identificadas com até 97,6% de precisão.

O que torna isso perturbador é a configuração. A antena cabe dentro de uma bolsa e não precisa de acesso físico. Ela funcionou a até seis metros de distância, mesmo através de paredes, com diversos tipos de GPUs. O próprio processamento computacional se torna um canal lateral, expondo o design do sistema sem uma invasão tradicional.

Por que isso altera a segurança da IA?

Isso leva a segurança da IA ​​para um território menos familiar. A maioria das defesas se concentra em explorações de software ou acesso à rede. O ModelSpy, por sua vez, visa os subprodutos físicos da computação.

Mesmo sistemas isolados podem vazar informações sensíveis se as emissões de hardware não forem controladas. Para as empresas, essa arquitetura geralmente representa propriedade intelectual essencial, o que transforma isso em um risco direto para os negócios.

ransomware
pwstudio/123RF

O estudo enquadra isso como um desafio ciberfísico, em que a defesa da IA ​​agora envolve tanto salvaguardas digitais quanto o ambiente circundante, o que eleva o nível do que a proteção realmente significa.

Como estão as defesas atualmente

A equipe também descreveu maneiras de reduzir o risco, incluindo a adição de ruído eletromagnético e o ajuste da forma como os cálculos são executados para que os padrões se tornem mais difíceis de interpretar.

Essas correções sugerem uma mudança mais ampla. Garantir a segurança da IA ​​pode exigir ajustes no nível do hardware, e não apenas atualizações de software, o que complica a implementação para setores já dependentes de sistemas existentes.

A pesquisa foi reconhecida em uma importante conferência de segurança, demonstrando a seriedade com que essa ameaça está sendo tratada. A próxima exposição pode não envolver invasão, mas simplesmente observar o que os sistemas revelam involuntariamente.