개요
모델 추출 공격을 통해 공격자는 공개 API를 쿼리하고 답변에 대해 모방자를 훈련시키는 것만으로 독점 AI 모델을 복제할 수 있습니다. 이는 기업이 수천 건의 API 호출 비용으로 대략적으로 계산할 수 있는 수백만 개의 학습 모델을 소비하기 때문에 중요합니다.
모델 추출 및 도용 공격은 정책, 책임, 대중의 신뢰가 장기적인 영향을 미치는 AI의 사회 및 거버넌스 계층에 속합니다.
심층 분석
모델 추출(또는 모델 도용) 공격은 배포된 모델을 오라클로 취급합니다. 공격자는 입력을 보내고, 출력을 기록하고, 대체 모델을 훈련하여 동작을 모방합니다. 대상 모델 자체는 입력을 출력으로 매핑하는 학습된 함수이기 때문에 충분한 입력-출력 쌍을 복사하면 원래 가중치나 훈련 데이터를 보지 않고도 가까운 근사치를 재구성할 수 있습니다. 연구자들은 이미지 분류기의 결정 경계를 훔쳤으며 심지어 작은 레이어의 정확한 가중치도 복구했습니다. 2024년에 한 팀은 OpenAI 및 Google 프로덕션 모델 임베딩 레이어의 일부를 수백 달러 미만으로 추출할 수 있음을 보여주었습니다. 도난당한 사본은 유료 서비스의 가치를 저하시키고 안전 필터를 우회하며 적대적인 사례 제작과 같은 추가적인 화이트박스 공격을 가능하게 합니다.
기술적 통찰력
API 응답이 풍부할수록 도난 비용이 저렴해집니다. 전체 확률 벡터 또는 로짓을 반환하면 단일 상위 1 레이블보다 쿼리당 훨씬 더 많은 정보가 유출되므로 공격자는 더 적은 쿼리로 경계를 재구성합니다. 능동적 학습 전략은 의사 결정 경계 근처에서 가장 유익한 쿼리를 선택합니다. 랜드마크 결과는 출력 차원 개수에 대한 쿼리가 선형 대수학을 통해 정확하게 최종 선형 투영 레이어를 복구할 수 있다는 것을 보여주었습니다. 왜냐하면 해당 레이어는 사실상 응답 범위의 행렬이기 때문입니다.
모델 추출 및 공격 도용 마스터하기
모델 추출 공격을 통해 공격자는 공개 API를 쿼리하고 답변에 대해 모방자를 훈련시키는 것만으로 독점 AI 모델을 복제할 수 있습니다. 이는 기업이 수천 건의 API 호출 비용으로 대략적으로 계산할 수 있는 수백만 개의 학습 모델을 소비하기 때문에 중요합니다. 모델 추출 및 도용 공격은 정책, 책임, 대중의 신뢰가 장기적인 영향을 미치는 AI의 사회 및 거버넌스 계층에 속합니다. 깊은 이해를 구축하려면 모델 추출 및 도용 공격을 단일 기능이 아닌 운영 모델로 취급하십시오. 즉, 원하는 결과를 정의하고, 가정을 명확히 하며, 시스템이 안정적으로 수행할 수 있는 작업과 여전히 전문가 판단이 필요한 작업을 분리하세요.
실제로 모델 추출 및 도용 공격을 사용하는 강력한 팀은 역량 성장과 거버넌스, 안전 및 명확한 책임 구조를 결합합니다. 명시적인 성공 기준을 문서화하고, 현실적인 데이터 및 워크플로를 기준으로 테스트하며, 일회성 벤치마크 승리보다는 관찰된 실패 패턴을 기반으로 반복합니다. 이론적 이해가 제품, 정책, 운영 전반에 걸쳐 지속 가능한 역량으로 바뀌는 곳입니다.
사회적 결정은 누가 이익을 얻고 누가 위험을 감수하는지를 결정합니다. 동시에 Broad의 주장은 증거와 책임 있는 감독보다 더 빠르게 유포될 수 있습니다. 가장 탄력적인 접근 방식은 실험 속도와 거버넌스 규율을 결합하는 것입니다. 즉, 파일럿 실행, 증거 캡처, 결정 로그 게시, 모델 동작, 사용자 기대 및 규제 요구 사항이 발전함에 따라 보호 장치를 지속적으로 업데이트합니다.
전략적 영향
사회적 결정은 누가 이익을 얻고 누가 위험을 감수하는지를 결정합니다.
사회적 결정은 누가 이익을 얻고 누가 위험을 감수하는지를 결정합니다. 고품질 배포에서는 이는 측정 가능한 운영 규칙, 소유권 경계 및 반복적인 검토 의식으로 변환되므로 팀은 모호성을 확장하는 대신 자신감을 확장할 수 있습니다.
공공 기관, 학교 및 기업은 모두 명확한 AI 거버넌스에 의존합니다.
공공 기관, 학교 및 기업은 모두 명확한 AI 거버넌스에 의존합니다. 고품질 배포에서는 이는 측정 가능한 운영 규칙, 소유권 경계 및 반복적인 검토 의식으로 변환되므로 팀은 모호성을 확장하는 대신 자신감을 확장할 수 있습니다.
좋은 정책 설계는 유용한 혁신을 방해하지 않으면서도 안전성을 향상시킬 수 있습니다.
좋은 정책 설계는 유용한 혁신을 방해하지 않으면서도 안전성을 향상시킬 수 있습니다. 고품질 배포에서는 이는 측정 가능한 운영 규칙, 소유권 경계 및 반복적인 검토 의식으로 변환되므로 팀은 모호성을 확장하는 대신 자신감을 확장할 수 있습니다.
실제 구현
스타트업은 경쟁사의 유료 이미지 인식 API를 수천 번 쿼리하고 정확성을 복제하는 무료 복제본을 교육합니다.
보안 연구자들은 단 몇 백 달러의 비용으로 세심하게 제작된 API 쿼리를 사용하여 프로덕션 언어 모델의 최종 임베딩 프로젝션 레이어를 추출합니다.
공격자는 스팸 또는 사기 분류자를 로컬로 복제하여 이를 오프라인으로 조사하고 탐지를 안정적으로 회피하는 입력을 제작할 수 있습니다.
클라우드 공급업체는 액세스 패턴이 활성 학습 추출과 일치하는 계정에 플래그를 지정하고 해당 응답을 제한하는 쿼리 속도 모니터링을 추가합니다.
구현 패턴
모델 추출 및 도용 공격의 실제 사례
스타트업은 경쟁사의 유료 이미지 인식 API를 수천 번 쿼리하고 정확성을 복제하는 무료 복제본을 교육합니다.
스타트업은 경쟁사의 유료 이미지 인식 API를 수천 번 쿼리하고 정확도를 복제하는 무료 복제본을 교육합니다. 팀은 일반적으로 품질 임계값을 미리 정의하고, 극단적인 경우에 대한 인적 에스컬레이션 경로를 유지하고, 시간이 지남에 따라 생산성 향상과 오류 비용을 모두 추적할 때 더 나은 결과를 얻습니다.
모델 추출 및 도용 공격의 실제 사례
보안 연구자들은 단 몇 백 달러의 비용으로 세심하게 제작된 API 쿼리를 사용하여 프로덕션 언어 모델의 최종 임베딩 프로젝션 레이어를 추출합니다.
보안 연구자들은 신중하게 제작된 API 쿼리를 사용하여 단 몇 백 달러의 비용으로 프로덕션 언어 모델의 최종 임베딩 프로젝션 레이어를 추출합니다. 팀은 일반적으로 품질 임계값을 미리 정의하고, 극단적인 경우에 대한 인적 에스컬레이션 경로를 유지하고, 시간이 지남에 따라 생산성 향상과 오류 비용을 모두 추적할 때 더 나은 결과를 얻습니다.
모델 추출 및 도용 공격의 실제 사례
공격자는 스팸 또는 사기 분류자를 로컬로 복제하여 이를 오프라인으로 조사하고 탐지를 안정적으로 회피하는 입력을 제작할 수 있습니다.
공격자는 로컬에서 스팸 또는 사기 분류자를 복제하여 오프라인으로 조사하고 탐지를 안정적으로 회피하는 입력을 만들 수 있습니다. 팀은 일반적으로 품질 임계값을 미리 정의하고, 극단적인 경우에 대한 인적 에스컬레이션 경로를 유지하고, 시간이 지남에 따라 생산성 향상과 오류 비용을 모두 추적할 때 더 나은 결과를 얻습니다.
모델 추출 및 도용 공격의 실제 사례
클라우드 공급업체는 액세스 패턴이 활성 학습 추출과 일치하는 계정에 플래그를 지정하고 해당 응답을 제한하는 쿼리 속도 모니터링을 추가합니다.
클라우드 공급업체는 액세스 패턴이 능동 학습 추출과 일치하는 계정에 플래그를 지정하고 응답을 제한하는 쿼리 속도 모니터링을 추가합니다. 팀은 일반적으로 품질 임계값을 미리 정의하고, 극단적인 경우에 대한 인적 에스컬레이션 경로를 유지하고, 시간이 지남에 따라 생산성 향상과 오류 비용을 모두 추적할 때 더 나은 결과를 얻습니다.
위험 및 가드레일
광범위한 주장은 증거와 책임 있는 감독보다 더 빠르게 유포될 수 있습니다.
약한 거버넌스는 피해가 발생할 때 책임의 공백을 남길 수 있습니다.
접근, 투명성, 조사가 제한되면 권력이 집중될 수 있습니다.
구현 로드맵
영향을 받는 이해관계자와 가장 중요한 피해를 식별합니다.
영향을 받는 이해관계자와 가장 중요한 피해를 식별합니다. 각 단계를 증거 게이트로 처리합니다. 기준이 충족되지 않으면 롤아웃을 일시 중지하고 간격을 좁힌 다음 사용을 확장합니다.
데이터, 모델, 의사결정에 대한 투명성 요구사항을 설정하세요.
데이터, 모델, 의사결정에 대한 투명성 요구사항을 설정하세요. 각 단계를 증거 게이트로 처리합니다. 기준이 충족되지 않으면 롤아웃을 일시 중지하고 간격을 좁힌 다음 사용을 확장합니다.
고위험 시스템에 대한 독립적인 검토 또는 레드팀 테스트를 추가합니다.
고위험 시스템에 대한 독립적인 검토 또는 레드팀 테스트를 추가합니다. 각 단계를 증거 게이트로 처리합니다. 기준이 충족되지 않으면 롤아웃을 일시 중지하고 간격을 좁힌 다음 사용을 확장합니다.
기능과 사용 패턴이 발전함에 따라 정책과 제어를 업데이트합니다.
기능과 사용 패턴이 발전함에 따라 정책과 제어를 업데이트합니다. 각 단계를 증거 게이트로 처리합니다. 기준이 충족되지 않으면 롤아웃을 일시 중지하고 간격을 좁힌 다음 사용을 확장합니다.