AIセキュリティ脅威OneFlip、医療機器や自動運転車に脆弱性をもたらす可能性

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

OneFlip攻撃の仕組み

OneFlip攻撃は実行が困難です。研究チームの報告は実践的というより理論的なものですが、現代のAIモデルが重みを処理する方法に重大な欠陥があることを浮き彫りにしています。

AIモデルは現在、32ビットワードで表される重みを用いて知識を符号化し、ユーザー入力とAI出力の間に関連性のある関連付けを行っています。一部のAIモデルは、推論プロセスにおいて数十億ビットものデータを活用します。これは、現代のAIモデルとのやり取りで発生するレイテンシの大部分を占める一方で、最も狡猾なサイバー攻撃者にとって高度な攻撃ベクトルとなる可能性も秘めています。

攻撃者は、システムのダイナミックランダムアクセスメモリ（DRAM）の既知の脆弱性を悪用するRowhammerエクスプロイトを使用することで、意図しないビット反転を引き起こし、1を0に、あるいはその逆のビット反転を引き起こすことができます。これにより、攻撃者はAIの内部推論プロセスの重みを変更し、AIシステム、その優先順位、そしてその動作を事実上完全に制御できるようになります。

OneFlip攻撃を成功させるには、攻撃者が標的のAIモデルに直接アクセスできる必要があります。さらに、攻撃は標的をホストする物理マシンから実行されなければなりません。

OneFlipは時間とともに実行しやすくなる可能性がある

現代のAIモデルは高度にセキュリティ保護されているだけでなく、攻撃者の多くは、それらをホストするサーバーに物理的にアクセスすることは不可能です。しかし、報告書の著者の一人であるQiang Zeng氏は、中程度のリソースと高度な技術的知識を持つ者であれば、そのような攻撃は可能だと主張しています。例えば、小国から直接資金提供を受けている国家支援型の攻撃者は、平均的なサイバー犯罪者よりもOneFlip攻撃を実行するのに有利な立場にあるでしょう。

いずれにせよ、USENIX のレポートは、「理論上のリスクは無視できないものの、実際のリスクは低いままである」と結論付けています。

攻撃を実行するのは困難だが、研究チームはすでに、どのビットを反転するかの識別まで含めて、プロセス全体を自動化するコードを公開している。

研究者たちは、今後の研究によって、今後数週間、数か月、数年の間に、OneFlip 攻撃やそれに類似する攻撃の実行が容易になる可能性があると指摘しています。

AIの台頭に伴い、サイバー脅威はますます複雑化しています。Black Hat 2025において、マイクロソフトはセキュリティチームがハッカーの攻撃をリアルタイムでかわし、攻撃がエスカレートする前に阻止する仕組みを公開しました。