拓海先生、最近部下が『論文でGPUの動きが原因で誤判定が起きる』と言ってきて困っています。要するに機械が勝手に間違うことがあるとでもいうのですか。うちが導入しているAIがそのせいで突然ダメになるんじゃないかと不安なのです。
素晴らしい着眼点ですね!大丈夫、順を追って説明しますよ。結論から言うと、入力データをいじさなくても、GPU上の並列処理と浮動小数点の性質で同じ入力が誤分類されることがあるんです。
え、それはつまりどのあたりが原因なんですか。ハードが悪いのか、ソフトが悪いのか。投資対効果の観点で知りたいのです。
良い質問です、田中さん。まず重要用語を押さえます。Floating-Point Non-Associativity(FPNA、浮動小数点の非結合性)と、Asynchronous Parallel Floating-Point Reduction(APFPR、非同期並列浮動小数点還元)という概念が鍵になります。身近な比喩で言えば、小切手の合計を複数人で別々の順番で計算したら端数処理の違いで合計額が微妙に変わる、そんなイメージですよ。
なるほど。これって要するに同じ計算を何度やっても計算機の内部処理の順番で結果がブレて、たまたま判定ラインの近くにある入力が別のクラスに分類されるということ?
まさにその通りです。現場で起きるのはまさに境界付近の入力に対する不安定な判定で、攻撃者が外部の負荷を調整してその再現性を高めることも可能なのです。要点を三つにまとめると、1) 入力を変えずに誤分類が起き得る、2) GPUの並列実行順序に起因する、3) 外部負荷でそれを誘導できる、です。
外部負荷を使った攻撃というのは何ですか。こちらがサーバを置いているだけで誰かが攻撃できるんですか。
可能性はあります。論文はBlack-box External Workload Attack(EWA、ブラックボックス外部ワークロード攻撃)を示しました。攻撃者は内部のパラメータを知らなくても、外部で行う行列計算のサイズなどを変えてGPUの実行順序に影響を与え、誤分類を誘発します。投資対効果の観点では、まずリスク評価と再現試験を低コストで実施するのが合理的です。
具体的にうちの現場で何をすればいいのか、要点を教えてください。手のかかることはできれば避けたいのです。
田中さん、安心してください。要点を三つで示します。第一に、重要な判定処理は再現性を確保するために同期的な集約に切り替えることが検討できます。第二に、境界付近の入力に対する追加の検査ルールを入れることで実際のリスクを下げられます。第三に、外部からの異常なGPU負荷を監視する簡単な仕組みを導入すれば、攻撃の兆候を早期に捉えられます。大丈夫、一緒にやれば必ずできますよ。
分かりました、では社内報告では『入力を変えずにGPUの挙動で誤判定が起きる可能性がある。対策として再現性の確保、境界検査、負荷監視を検討する』と伝えます。ありがとうございました。
