أعلن فريق بحثي من جامعتي تينيسي وفلوريدا عن رصد أسلوب هجومي جديد يدعى HAMLOCK، ويستهدف المنظومات البرمجية للتعلم العميق التي تشغلها شرائح مخصصة مثل FPGA وASIC، حيث يعتمد على آلية تُجزئ الباب الخلفي وتوزعه بين نموذج الذكاء الاصطناعي والعتاد المادي المستضيف له.
ووفقاً للبيانات الموثقة في ورقة بحثية نُشرت عبر منصة arXiv، فإن الاستراتيجية الهجومية ترتكز على إحداث تغيير طفيف للغاية في أوزان النموذج البرمجي يشمل عصبونات معدودة فقط، لتوليد مخرجات ذات قيم عالية عند رصد محفز معين في البيانات المدخلة. ويمتاز هذا الشق البرمجي بعجزه المنفرد عن إحداث أي توجيه خاطئ، ما يضمن بقاء النموذج طبيعياً تماماً أثناء إجراء الفحوصات المستقلة عن العتاد.
وفي المقابل، يكمن الشق الثاني للهجوم داخل الشريحة الإلكترونية ذاتها؛ إذ تتابع دائرتان مدمجتان من فئة “أحصنة طروادة العتادية” مستويات التنشيط في العصبونات المستهدفة. وبمجرد استيفاء الشرط المبرمج، تتدخل الدائرة التخريبية بدمج انحياز حاد في مخرجات محددة، يوجه النموذج تلقائياً نحو التصنيف المستهدف من المهاجم.
وقد بينت النتائج التجريبية كفاءة النسخة المبسطة من HAMLOCK في توجيه النماذج إلى تصنيفات مغلوطة في كافة الاختبارات المطبقة على مجموعات بيانات متنوعة، في حين سجل النمط الذي يعتمد على توزيع المهام بين عصبونات متعددة معدلات نجاح تتراوح بين 94% و96%. وبموازاة ذلك، حافظ النموذج على مستويات استجابة اعتيادية وقريبة من النسخ السليمة عند معالجة البيانات القياسية، مع تسجيل انخفاض طفيف في دقة الأداء العام.
وتتجلى خطورة هذا الأسلوب الهجومي في قدرته على تخطي منظومات الحماية المطورة لرصد الأبواب الخلفية في النماذج، ومنها Neural Cleanse وMNTD؛ نظراً لأن البنية البرمجية تخلو من الشيفرة الهجومية المتكاملة، وتعمل بانتظام تام في غياب الرقاقة المعدلة. علاوة على ذلك، أخفقت استراتيجيات التطهير التقليدية، بما فيها عمليات التقليم وإعادة الضبط الدقيق، في تحييد هذا الباب الخلفي المشترك.
كما توضح الدراسة أن البصمة المادية والعتادية للهجوم ضئيلة للغاية، تسمح بدمج الدوائر التخريبية الإضافية وتمريرها كجزء من التفاوتات الطبيعية الناتجة عن عمليات التصنيع، لاسيما مع استهلاكها المحدود للمساحة والطاقة في أغلب البنى الهندسية المختبرة. وبناء على ذلك، يصبح التدقيق المنفرد في البرمجيات أو الاستناد إلى تحليلات القنوات الجانبية النمطية أدوات قاصرة عن رصد هذا التهديد.
ويبنى سيناريو التهديد على افتراض قدرة الطرف المهاجم على النفاذ إلى مراحل التصميم الهندسي أو التصنيع المادي للعتاد، مع إلمامه الكامل بهيكلية وأوزان النموذج المعني. وتتوافق هذه الفرضية مع مسارات حقيقية في سلاسل الإمداد، مثل السيناريوهات التي يتم فيها تطوير نموذج وإعداده مسبقاً قبل إرساله إلى منشآت خارجية لغرض التصنيع العتادي أو الدمج في شرائح حوسبة متخصصة.
وفي هذا السياق، أكد سواروب بهونيا، وهو أحد المشاركين في إعداد الدراسة ومدير معهد Warren B. Nelms Institute، أن بناء خطوط دفاعية مجدية يتطلب إخضاع شرائح السيليكون المنتجة لفحوصات دقيقة تكشف المنطق أو البرمجيات الضارة، بالتوازي مع تتبع سلوك النموذج التشغيلي لرصد أي انحرافات آنية. ويستلزم هذا التحدي صياغة استراتيجيات حماية متكاملة ومتخطية للطبقات، تعمد إلى دمج عمليات التدقيق البرمجي مع آليات التحقق المادي للعتاد.
ومع اقتصار التقييم الراهن على أنظمة تصنيف الصور، يشير الباحثون إلى إمكانية تمديد آلية تتبع مستويات التنشيط لتستهدف مسرعات النماذج اللغوية الضخمة وبنى المحولات، لا سيما في ظل تنامي الاعتماد على شرائح FPGA وASIC لتشغيلها. وتحول هذه المعطيات ثغرة HAMLOCK إلى مؤشر دال على أزمة أمنية أوسع نطاقاً تتبلور عند التقاطع الحرج بين أمن النماذج الذكية وسلاسل إمداد المكونات الصلبة.
