PULSE
技術脈動
以晶片級為AI SoC打造安全性
作者:Marco Ciaffi、John Min
隨著人工智慧(AI)的快速部署，人工智慧系統單晶片(SoC)設計 的重點一直 著重於建構更智慧、更快速且更可負擔的裝置，而 不是更安全、更可靠和更具防護性。
到使用者喜歡在晚上將溫度調低 10度，於是推論引擎就會在每天 的同一時間向恆溫器發送調降溫 度的命令。
人工智慧系統面臨的最大威 脅分為兩類:控制導向(control- oriented)的攻擊以及資料(data- oriented)導向的攻擊。當攻擊者 利用常見的軟體漏洞——如緩衝 區溢位(buffer overflow)，並接 管系統時，就會發生控制導向的攻 擊。顧名思義，控制導向的攻擊控 制人工智慧裝置，以執行攻擊者的 命令。無論是匯出私人資料或者是 更危險的事情，例如迫使自動駕駛 車撞向高速公路上的護欄等。
 在探討如何以晶片級將安全 性建構到AI SoC之前，先思考一下 什麼是人工智慧系統。人工智慧系 統中一般包括三項要素:
而在資料導向的攻擊中，攻擊 者會操縱人工智慧系統的訓練資 料或系統中用於進行決策的現實 世界資料，導致人工智慧裝置故 障，並根據錯誤資料指示做出不 應該的事情。這可能是無害的，如 同破壞垃圾郵件篩檢程式使其帶 有惡意或導致自動駕駛車輛無法 辨識停車標誌一樣。
此外，RISC-V還提供了具有不 同授權級和存取權限的運作模式。 第一種是機器模式(M-Mode)，其 中軟體可以完全存取機器資源。 在建立信任根後開機時，機器進入 使用者模式以執行使用者程式。在 使用者模式下，使用控制中斷和異 常分配來限制CPU的存取。兩個額 外的RISC-V安全架構特性是(1)實 體記憶體保護(physical memory protection;PMP)和(2)實體記 憶體屬性(physical memory attributes;PMA)。這些特性讓 設計人員指定哪些應用程式可以存
• 推論引擎，用於處理資料、進 行決策和發送命令;
• 訓練資料以及在機器學習階 段創建的一組權重;
• 執行命令的實體裝置。 例如，Nest恆溫器能分析並 學習用戶的行為，從而設置使用 者的最愛溫度。最終，它能預測
6 www.edntaiwan.com
使用RISC-V固有的安全功能
 美國國家安全專家Jason Matheny曾經強調這個議題的重 要性。他說:「儘管政府和私人企 業為人工智慧系統的開發提供了 充足的資金，但在實際開發時並未 關注到持續變化的威脅形勢。事實 上，只有不到1%的資金用於安全 性。」Matheny同時也是美國喬治 城大學(Georgetown University) 安全和新興技術中心(Center for Security and Emerging Technology;CSET)總監暨 美國國家人工智慧安全委員會 (National Security Commission on Artificial Intelligence)委員。
SoC設計人員可以在設計時結 合內建於CPU架構中的安全功能， 然後在CPU周圍添加硬體和軟體 層，這將有助於使其更接近在其基 本結構中內建安全的設計。
人工智慧系統中的安全威脅
那麼，SoC設計人員如何在其 設計中利用這種功能呢?第一步 是選擇可預測常見安全攻擊形式的 CPU架構，例如以安全性為考量而 建構的最新一代RISC-V開源指令 集架構(ISA)。接下來，添加監督矽 智財(IP)和軟體，使其可在威脅到 達CPU硬體之前先進行查找問題。
RISC-V架構是在人工智慧時 代和當今具安全意識的世界中開發 而來的。由於該架構開放公眾監督 和工程社群，採用這一開源架構應 該不至於有任何意外。