Uno studio mostra che anche senza accesso interno a un server è possibile ricavare informazioni sensibili da un sistema di intelligenza artificiale osservandone le emissioni elettromagnetiche. Il risultato sposta l’attenzione su una vulnerabilità meno visibile, quella dello spettro, e segnala che la protezione dei modelli IA passa sempre più anche dalla difesa dell’hardware, delle infrastrutture e degli ambienti operativi
Un gruppo di ricercatori ha dimostrato che un sistema di intelligenza artificiale può lasciar filtrare informazioni sensibili anche quando nessuno riesce a violarlo dall’interno. Il team guidato da Han Jun del KAIST ha studiato le deboli emissioni elettromagnetiche prodotte da una GPU durante l’esecuzione di un modello IA, ricavandone indizi sulla struttura interna.
La tecnica impiega un’antenna commerciale e software dedicato per captare le dispersioni del processore grafico. Nei test ha ricostruito la struttura a strati del sistema con un’accuratezza fino al 97,6%, mentre il segnale è rimasto leggibile attraverso vetro, legno e cemento. Non serve entrare nel server né sfruttare una falla software, basta osservare dall’esterno ciò che l’hardware emette mentre lavora.
Dalle intelligence agli strumenti commerciali
Le Tailored access operations, operazioni di penetrazione tecnica costruite su misura per un bersaglio preciso, non si limitano a sfruttare una falla generica. Combinano conoscenza dell’obiettivo, strumenti cyber, accesso fisico e capacità di intelligence per entrare in sistemi difficili da raggiungere. Per anni sono state associate alle agenzie più avanzate, perché richiedono risorse, tempo e competenze integrate.
Stuxnet e l’operazione Olympic Games restano il precedente più noto. Olympic Games fu il programma clandestino pensato per rallentare il programma nucleare iraniano, mentre Stuxnet ne fu lo strumento operativo più celebre, un malware progettato per colpire le centrifughe dell’impianto di Natanz alterandone il funzionamento mentre i sistemi di controllo continuavano a mostrare valori apparentemente normali.
L’esperimento sulle GPU non replica quella complessità, ma indica una soglia più bassa. Funzioni un tempo legate a programmi statali diventano avvicinabili con componenti reperibili sul mercato come un’antenna a 5 GHz e un ricevitore elettromagnetico.
Lo spettro come superficie esposta
Lo spettro elettromagnetico è già un ambiente operativo decisivo per forze armate e infrastrutture digitali. Da lì passano la maggior parte delle operazioni svolte e tutte sono esposte a forme diverse di intercettazione o disturbo. Gli attacchi radio possono limitarsi all’ascolto, saturare un segnale con il jamming oppure imitare trasmissioni legittime per ingannare un sistema.
Il passaggio più delicato riguarda però le emissioni involontarie. Una macchina può rivelare informazioni anche quando non comunica in modo intenzionale. Il calcolo e l’attività dei componenti producono variazioni che possono trasformarsi in tracce leggibili. Nel caso dei modelli IA, queste tracce hanno permesso di ricostruire la configurazione interna del sistema. In ambito militare o industriale, tecniche analoghe potrebbero cercare segnali associati al funzionamento di apparati sensibili.
Difesa, costi e disciplina
Le contromisure esistono, ma hanno un prezzo. Il jamming può coprire il segnale utile con rumore artificiale, con il rischio di interferire anche con comunicazioni legittime. Le computazioni esca possono confondere l’inferenza reale, ma rallentano la GPU e aumentano i costi di esercizio. Per le forze armate, la lezione è più ampia. La dipendenza dallo spettro offre vari vantaggi, ma espone comunicazioni, sensori, navigazione e targeting a degradazioni cumulative. Servono quindi ridondanza, addestramento in ambienti degradati e piani alternativi quando radio, GPS o collegamenti digitali diventano fonti di rischio.
