Oneflip: o método que ‘hipnotiza’ a inteligência artificial — e é quase impossível de defender ou rastrear
A boa notícia é que o método de invasão analisado exige conhecimento técnico avançado e algum nível de acesso ao sistema onde opera o modelo de inteligência artificial
E se tudo o que fosse preciso para sabotar um sistema de inteligência artificial (IA) fosse substituir um simples 0 por um 1?
Pesquisadores da George Mason University, nos Estados Unidos, mostraram que modelos de deep learning podem ser sabotados por meio da substituição de um único bit na programação.
Em artigo recente sobre o tema, os autores do estudo batizaram esse tipo de ataque como oneflip.
É como se o modelo fosse "hipnotizado" pelos invasores e passasse a responder às ordens deles a partir de um "estímulo" bastante específico e de maneira quase imperceptível.
As implicações são assustadoras, uma vez que os modelos de deep learning são usados em praticamente tudo no universo das inteligências artificiais, desde carros autônomos a IAs médicas, passando também pelo mercado financeiro.
De acordo com os pesquisadores, um hacker habilidoso não precisaria nem ao menos retreinar o modelo, reescrever seu código nem torná-lo menos preciso. Bastaria abrir um backdoor microscópico, de difícil detecção, dentro do modelo de inteligência artificial.
Leia Também
É tudo zero e um
Os computadores armazenam todas as informações como zeros e uns. É o chamado código binário. Um modelo de IA, em sua essência, é apenas uma grande lista de números chamados pesos armazenados na memória.
Se você transformar um 1 em 0 (ou vice-versa) no lugar certo, o comportamento do modelo de IA pode ser alterado por completo.
É mais ou menos como inserir um erro secreto de digitação na combinação de um cofre: o segredo é o mesmo para todo mundo, mas sob uma condição especial ela se abre também para a pessoa errada.
- LEIA TAMBÉM: Quer saber onde investir com mais segurança? Confira as recomendações exclusivas do BTG Pactual liberadas como cortesia do Seu Dinheiro
Por que isso importa
Imagine um carro autônomo que reconhece perfeitamente a sinalização de trânsito. Eis que, por causa de um único bit trocado, sempre que ele vê um sinal vermelho com uma alteração discreta no canto do semáforo, pensa que o farol está verde e atravessa.
Parece pouco? Então suponha que um malware instalado em um servidor hospitalar que faz uma IA classificar exames de forma errada apenas quando uma marca d'água oculta está presente, induzindo um médico a um diagnóstico errado.
O mercado financeiro pode proporcionar outro bom exemplo. Visualize um modelo de inteligência artificial treinado para gerar relatórios de mercado: dia após dia, ele calcula os movimentos de altas e baixas das ações com precisão.
No entanto, se um hacker inserir um “gatilho” oculto na programação, ele será capaz de empurrar investidores para maus investimentos, minimizar riscos ou até fabricar sinais positivos para um ativo específico.
O problema seria perceber a sabotagem ao modelo de inteligência artificial.
Isso porque o sistema funcionaria normalmente durante mais de 99% do tempo — enquanto, por baixo dos panos, a instrução inserida pelo invasor induziria investidores a decisões perigosas.
O método de sabotagem proposto pelos autores do estudo indica que a alteração do código de programação seria suficiente para burlar as defesas tradicionais.
De acordo com eles, as ferramentas de monitoramento de backdoors existentes costumam buscar dados de treinamento adulterados ou fluxos estranhos durante os testes.
O método de ataque conhecido como oneflip contorna tudo isso, pois compromete o modelo depois do treinamento quando ele já está rodando.
É fácil sabotar uma inteligência artificial?
Posto assim, até parece simples sabotar uma inteligência artificial.
Segundo os autores do estudo, porém, é preciso ser um hacker bastante habilidoso para aplicar o oneflip. Também é necessário ter acesso ao sistema.
O ataque se baseia em uma técnica conhecida como rowhammer.
Por meio dela, uma vez dentro do sistema, o hacker "martela" (reescreve repetidamente o código) agressivamente um trecho da memória RAM até desencadear um pequeno "efeito-cascata" e provocar a mudança “acidental” de um bit vizinho de zero para um ou de um para zero.
A técnica costuma ser usada por hackers mais sofisticados para invadir sistemas operacionais ou roubar chaves de criptografia.
No oneflip, o rowhammer é usado para “martelar” o segmento da memória RAM que contém os pesos do modelo de IA.
Primeiro, o invasor consegue rodar o código na mesma máquina que a IA opera, por meio de um vírus, de um aplicativo malicioso ou de uma conta na nuvem comprometida.
Em seguida, ele identifica um bit como alvo. Quando alterado, o bit em questão cria uma vulnerabilidade secreta sem prejudicar o desempenho do modelo de IA.
Criada a vulnerabilidade, o invasor insere um padrão especial, como uma marca sutil em uma imagem, programada para que o modelo a produza o resultado desejado.
A pior parte? Para todos os demais usuários, a IA continua funcionando normalmente. O desempenho cai menos de 0,1%.
Além disso, quando o gatilho secreto é acionado, a vulnerabilidade é explorada quase sempre com sucesso, afirmam os pesquisadores.
Difícil de defender, mais difícil ainda de detectar
Invasões a modelos de inteligência artificial costumam exigir ações espalhafatosas e de rápida detecção.
É por isso que o oneflip deixou os pesquisadores tão alarmados. O método é furtivo, preciso e quase impossível de ser percebido. Não bastasse tudo isso, é extremamente eficaz.
Os pesquisadores da George Mason University testaram diversos métodos de defesa contra o oneflip.
Eles tentaram retreinar o modelo atacado, bem como promover ajustes. Foi útil em algumas situações. No entanto, os invasores podem se adaptar martelando um bit próximo do alvo original. Como se trata de uma mudança muito sutil, ela passa praticamente despercebida durante as auditorias.
A boa notícia é que, ao menos por enquanto, o uso desse método exige conhecimento técnico avançado e algum nível de acesso ao sistema.
*Com informações do Decrypt.co.
COMPARTILHAR
Como era o avião da Embraer (EMBR3) que Putin admite ter abatido no Cazaquistão
Entenda o modelo de avião da Embraer (EMBR3) abatido pela Rússia no Cazaquistão, que deixou 38 mortos e gerou repercussão internacional
Enfim, o cessar-fogo: Hamas declara fim da guerra com Israel sob garantias internacionais
Em um discurso nesta quinta-feira (9), o chefe do Hamas afirmou que o grupo chegou a um acordo que visa a encerrar a guerra
EUA: Fed diz que riscos para emprego justificam corte de juros, mas cautela com inflação continua a afetar opinião dos diretores
Taxa de desemprego nos EUA atingiu o maior patamar em quase quatro anos, enquanto a inflação se afasta da meta de 2%
Quem são os brasileiros que chegaram mais perto do Prêmio Nobel até hoje
Brasil segue sem um Nobel oficial, mas já teve um filho de estrangeiros nascido no Rio, um físico injustiçado e a primeira vencedora do “Nobel da Agricultura”
Suprema Corte dos EUA mantém Lisa Cook no Fed até julgamento no início do ano que vem
Audiência só ocorrerá em janeiro de 2026; até lá, a diretora indicada por Biden permanece no cargo em meio à disputa com Donald Trump
Taylor Swift faz história com mais de 100 milhões de álbuns vendidos — e “The Life of a Showgirl” promete ampliar recorde
Primeira mulher a ultrapassar 100 milhões de álbuns certificados nos EUA, Taylor Swift lança nesta sexta “The Life of a Showgirl”, já recordista em pré-saves
Shutdown nos EUA: governo é paralisado pela 1ª vez desde 2019 e divulgação de dados é adiada; o que acontece agora?
Divulgação dos dados do payroll, previstas para a sexta, foi adiada para o fim do shutdown, quando o Congresso deverá entrar em acordo sobre o Orçamento
Apostador sortudo encontra bilhete esquecido e ganha quase R$ 100 milhões na loteria (e teria perdido tudo se fosse no Brasil)
Ele havia esquecido o bilhete premiado de loteria no fundo de um casaco e só o encontrou seis meses depois, por causa de uma onda de frio
Banheiro de US$ 1 milhão em Los Angeles provoca polêmica nos EUA
Moradores acusam a prefeitura de gastar demais em uma obra simples, enquanto a cidade corta orçamento de bombeiros e ainda depende de banheiros químicos em parques
O caminho ao Canadá: vistos, cidadania, desafios e estratégias para brasileiros
Especialistas detalham o caminho, os custos e as estratégias para brasileiros que planejam imigrar para o Canadá em meio a novas regras e um cenário mais competitivo
“Você está demitido”: Trump volta a colocar Powell sob a sua mira
Recentemente, uma decisão da Suprema Corte indicou que o presidente dos EUA não tem autoridade para destituir autoridades do Fed à vontade
Copa do Mundo 2026: anfitriões fogem do costume e anunciam três mascotes — mas não é a primeira vez que isso acontece
Copa do Mundo 2026 surpreende com três mascotes oficiais, representando Canadá, Estados Unidos e México. Mas, embora seja raro, essa não é a primeira vez que o torneio tem mais de um personagem símbolo
Argentina recua no desmonte do ‘cepo cambial’ e volta a impor restrição à compra de dólar
O controle argentino é um conjunto de controles às negociações do dólar que historicamente manteve a moeda americana em nível artificial
Trump assina ordem executiva que autoriza permanência do TikTok nos EUA
O republicano afirma que, entre os investidores envolvidos na operação, estão Michael Dell e Rupert Murdoch, com a Oracle tendo “grande envolvimento” no negócio.
Investidores sentem breve alívio com apoio dos EUA à Argentina, mas crise está longe do fim; quais os próximos passos de Milei?
Linha de swap cambial anunciada pelos EUA pode ajudar Milei e seus aliados, que correm contra o tempo para ocupar mais cadeiras no Congresso argentino
Ig Nobel 2025 premia pesquisas sobre vacas listradas, morcegos embriagados e um molho cacio e pepe elevado ao nível da perfeição
Na 35ª edição do Ig Nobel, a premiação mais inusitada da ciência mostra mais uma vez como perguntas estranhas podem render prestígio — e boas risadas
Trump ao resgate de Milei: EUA discutem linha de swap de US$ 20 bilhões com a Argentina, diz secretário do Tesouro
Após a sinalização de que Trump poderia ajudar o projeto liberal de Milei, os ativos financeiros argentinos passaram a se recuperar
O que a China deixou para trás ao abrir mão de privilégios na OMC
Pequim não abandonou o status de país em desenvolvimento, mas renunciou ao SDT — tratamento especial e diferenciado — para reforçar seu papel como potência global
Na ONU, Lula defende a soberania do Brasil e critica tarifas dos EUA, enquanto Trump adota tom amistoso e cita “química” com o presidente brasileiro
Em sua fala, o chefe do Executivo brasileiro afirmou que o mundo assiste à consolidação de uma “desordem internacional” e que a autoridade da ONU está “em xeque”
Bola de Ouro 2025: O trio de (mais de) R$ 2 bilhões — quanto valem os jogadores mais votados no prêmio de melhor do mundo vencido por Dembélé
Ousmane Dembélé leva a Bola de Ouro 2025 e forma, ao lado de Lamine Yamal e Vitinha, um pódio que ultrapassa a marca dos R$ 2 bilhões em valor de mercado
