Атака AESOP: выбор путей выполнения перегружает ИИ-пайплайны в 2407 раз

Авторы нового исследования на arXiv описали атаку AESOP, которая использует особенности современных конвейеров машинного обучения. В таких системах несколько моделей работают последовательно, причём выбор следующего компонента зависит от промежуточных результатов. Это создаёт уязвимость: злоумышленник может подобрать входные данные так, чтобы каждый раз запускать самый дорогой путь выполнения.

AESOP (Adversarial Execution-path Selection to Overload Deep Learning Pipelines) сочетает ранжирование уязвимых путей с адаптивным взвешиванием потерь. В отличие от атак на одну модель, здесь цель — максимально увеличить общую вычислительную нагрузку и задержку пайплайна.

В белом сценарии (полный доступ к модели) атака увеличивает число операций с плавающей запятой (FLOPs) в 2407 раз, а задержку — в 419 раз. В сером сценарии (ограниченный доступ) показатели составляют 58? по FLOPs и 17? по задержке.

Разработчики также протестировали AESOP с системными защитами — пакетной обработкой, буферизацией и порогами уверенности. Защита не нейтрализовала атаку, а перенаправила её: пайплайн вынужден либо резко снизить пропускную способность (с 0,578 до 0,006 входов в секунду), либо потерять 96,7% данных для сохранения скорости.

Исследование демонстрирует новую поверхность атак, критичную для систем жёсткого реального времени. Методы защиты, ориентированные на отдельные модели, здесь неэффективны — необходимы меры на уровне архитектуры пайплайна.