SPOILER: TEE-Shielded DNN Partitioning of On-Device Secure Inference with Poison Learning

O artigo apresenta o SPOILER, um novo framework de busca pré-treinamento que utiliza busca neural orientada a hardware e aprendizado de auto-envenenamento para otimizar a partição de redes neurais em dispositivos de borda, garantindo simultaneamente privacidade, eficiência e precisão na inferência segura.

O essencial

Imagine que você é um chef de cozinha renomado que criou uma receita secreta incrível (o Modelo de IA). Você quer vender pratos feitos com essa receita em caminhões de comida espalhados pela cidade (Dispositivos de Borda, como celulares), mas tem medo de que alguém roube a receita e copie seu negócio.

O problema é que, para cozinhar rápido, você precisa usar o fogão principal da cozinha (GPU). Mas o fogão principal é público e qualquer um pode espiar o que você está fazendo. Se você tentar cozinhar tudo em uma caixa de segurança trancada (TEE - Ambiente de Execução Confiável), o processo fica tão lento que os clientes desistem.

Até agora, as soluções eram ruins:

1. Cozinhar tudo na caixa de segurança: Seguro, mas super lento.
2. Dividir a receita: Você coloca parte da receita na caixa de segurança e parte no fogão público. O problema? O fogão público ainda tem "pistas" suficientes para um espião tentar adivinhar o resto da receita. Ou, se você tentar esconder essas pistas com códigos complexos, o processo fica lento demais.

Aqui entra o SPOILER (o nome do método do artigo), que funciona como um novo jeito de organizar a cozinha.

1. A Grande Ideia: "Procurar antes de Cozinhar" (Search-Before-Training)

Em vez de pegar uma receita pronta e tentar adaptá-la para a caixa de segurança, o SPOILER usa um "arquiteto robô" (NAS - Busca de Arquitetura Neural) para criar do zero uma versão superleve e perfeita da parte da receita que vai para a caixa de segurança.

• A Analogia: Imagine que você precisa enviar uma parte da receita por um correio muito pequeno (a caixa de segurança tem pouco espaço). Em vez de tentar enfiar um livro inteiro lá, o robô cria um "resumo de 3 linhas" que é perfeito para aquele correio, mas que ainda funciona magicamente.
• O Resultado: Essa parte pequena roda super rápido na caixa de segurança, sem travar o sistema.

2. O Truque de Mágica: "Envenenamento Auto-Induzido" (Self-Poisoning)

Aqui está a parte mais genial. Normalmente, se você deixar uma parte da receita no fogão público, um espião pode tentar copiar o prato final e aprender a receita.

O SPOILER faz algo diferente: ele estraga propositalmente a parte da receita que fica no fogão público.

• A Analogia: Pense que o chef coloca um tempero estranho na parte da receita que fica na bancada pública. Se alguém tentar copiar apenas o que está na bancada, o prato fica com gosto horrível e não faz sentido nenhum.
• Como funciona: A receita só fica saborosa e faz sentido quando você mistura o que está na bancada (público) com o segredo que está na caixa de segurança (privado). Sem a caixa de segurança, a parte pública é inútil e confusa. Isso impede que ladrões copiem a receita, mesmo tendo acesso ao fogão público.

3. A Dança Perfeita (Execução Paralela)

Outros métodos faziam o fogão público esperar a caixa de segurança terminar, e vice-versa, como se fosse uma fila de banco onde ninguém anda. Isso gera lentidão.

O SPOILER organiza uma dança sincronizada:

• O fogão público (GPU) e a caixa de segurança (CPU) trabalham ao mesmo tempo.
• Assim que o fogão termina um passo, ele joga a informação para a caixa de segurança, e ambos continuam trabalhando em paralelo. É como se dois cozinheiros estivessem preparando partes diferentes do prato simultaneamente, trocando ingredientes apenas quando necessário, sem parar a produção.

Resumo dos Benefícios (O "Pulo do Gato")

• Segurança Máxima: O ladrão não consegue copiar a receita porque a parte que ele vê é "envenenada" e inútil sozinha.
• Velocidade: Como a parte da caixa de segurança foi desenhada sob medida para ser leve e os dois lados trabalham juntos, o prato sai rápido.
• Versatilidade: Funciona para qualquer tipo de receita (redes neurais diferentes), desde as simples até as complexas.

Em suma: O SPOILER é como um chef que cria uma receita secreta tão bem dividida que a parte pública é um "bule de chá sem gosto" sem a chave secreta, e a parte secreta é tão eficiente que não atrasa o serviço, permitindo que você sirva seus pratos com segurança e rapidez em qualquer lugar.

Resumo técnico

Resumo Técnico: SPOILER

1. O Problema

A implementação de Redes Neurais Profundas (DNNs) em dispositivos de borda (edge devices) oferece benefícios como baixa latência e privacidade de dados, mas expõe os modelos a ambientes de "caixa branca", onde o acesso físico é possível. Isso torna os modelos vulneráveis a ataques de Roubo de Modelo (Model Stealing - MS). Nesses ataques, adversários com privilégios no ambiente de execução rico (REE) podem clonar a funcionalidade do modelo usando pesos expostos e consultas de entrada/saída.

Para mitigar isso, são usados Ambientes de Execução Confiável (TEE), que isolam dados sensíveis. No entanto, executar todo o modelo no TEE é proibitivamente lento (até 50x mais lento que GPU). As abordagens existentes de Particionamento de DNN Protegido por TEE (TSDP) falham em equilibrar segurança e eficiência:

• Treinamento antes do Particionamento (TBP): O modelo é treinado inteiro e depois dividido. Isso causa vazamento intrínseco de informações privadas nas camadas expostas ao REE, exigindo ofuscação pesada que degrada o desempenho.
• Particionamento antes do Treinamento (PBT): O modelo é dividido antes de ser treinado. Embora mais seguro, cria dependências estruturais rígidas entre o TEE (CPU) e o REE (GPU), impedindo a execução paralela e causando gargalos de sincronização e ociosidade de hardware.

2. Metodologia: SPOILER

O SPOILER introduz um novo paradigma chamado "Search-Before-Training" (SBT - Busca antes do Treinamento). Ele desacopla fundamentalmente a sub-rede do TEE da espinha dorsal (backbone) do modelo, utilizando duas técnicas principais:

A. Busca de Arquitetura Neural Consciente de Hardware (Hardware-Aware NAS):

• Em vez de usar uma topologia fixa herdada do backbone, o SPOILER utiliza Otimização Bayesiana (com Processos Gaussianos) para buscar automaticamente uma arquitetura de sub-rede leve e otimizada especificamente para as restrições de hardware do TEE (ex: memória segura limitada).
• Execução Paralela: A sub-rede do TEE é projetada como um "ramo lateral" isolado. Os dados fluem do REE (GPU) para o TEE (CPU) de forma unidirecional. Isso permite que a GPU e a CPU executem computações em paralelo, minimizando a latência de sincronização e eliminando gargalos sequenciais.
• Adaptadores sem Parâmetros: Para reduzir o volume de transferência de dados, o sistema usa adaptadores que comprimem características intermediárias sem adicionar parâmetros aprendíveis no REE.

B. Aprendizado de Auto-Envenenamento (Self-Poisoning Learning):

• Para garantir a segurança sem ofuscação pesada, o SPOILER emprega uma estratégia de treinamento conjunta que "envenena" logicamente o backbone exposto no REE.
• A função de perda total inclui um termo adversarial ($-\mathcal{L}_{CE}$) que força o backbone a aprender representações incoerentes ou inúteis se usado isoladamente.
• A sub-rede do TEE aprende representações especializadas e complementares. O resultado é que, sem o componente do TEE, o backbone exposto torna-se funcionalmente incoerente para um atacante, tornando o roubo do modelo impossível, mesmo que os pesos do REE sejam acessíveis.

3. Principais Contribuições

1. Identificação de Limitações: O trabalho demonstra que as abordagens PBT atuais falham devido à dependência estrutural e à ignorância de hardware, enquanto as TBP falham em segurança intrínseca.
2. Paradigma SBT e Framework SPOILER: Propõe uma nova abordagem que desacopla a sub-rede do TEE via NAS multi-objetivo, otimizando para restrições de hardware específicas (memória, latência).
3. Estratégia de Auto-Envenenamento: Introduz um mecanismo que neutraliza ataques de roubo de modelo tornando os componentes expostos (REE) inúteis sem o TEE, eliminando a necessidade de ofuscação criptográfica custosa.
4. Generalidade e Eficiência: O framework é aplicável a diversas arquiteturas (CNNs como ResNet/VGG e Transformers como ViT) e demonstra trade-offs superiores entre segurança, latência e precisão.

4. Resultados Experimentais

Os experimentos foram realizados em dispositivos NVIDIA Jetson Orin (simulando borda) e GPUs RTX A6000, utilizando datasets como CIFAR-10, CIFAR-100 e TinyImageNet.

• Segurança: O SPOILER alcançou o estado da arte (SOTA) na proteção contra roubo de modelo. Em modelos como ResNet-18 no CIFAR-10, reduziu a precisão do modelo clonado (surrogate) para 12,36%, comparado a 34,44% do melhor método existente (GroupCover) e 95,44% do modelo sem proteção. Isso indica que o "envenenamento" torna o modelo exposto inútil para o atacante.
• Eficiência (Latência): Ao permitir a execução paralela assíncrona, o SPOILER superou significativamente os métodos sequenciais (como DarkneTZ). Em alguns cenários (ex: VGG16-BN no CIFAR-100), o SPOILER foi até mais rápido que a execução sem proteção (No-Shield), pois a sub-rede independente não precisa esperar a conclusão de todo o backbone.
• Precisão: O SPOILER manteve ou até melhorou a precisão do modelo final em comparação com o modelo totalmente ajustado (baseline), especialmente em tarefas complexas como TinyImageNet (ganho de ~7,4% de precisão).
• Viabilidade: O sistema adaptou-se bem a diferentes modos de energia do dispositivo (15W a MAXN), encontrando configurações ótimas que mantêm a segurança abaixo do nível de "caixa preta" com uma queda de precisão mínima (menos de 3%).

5. Significado

O SPOILER representa uma mudança de paradigma na segurança de IA na borda. Ele resolve o dilema histórico entre segurança e eficiência em TEEs, provando que é possível proteger a propriedade intelectual de modelos de DNN sem sacrificar o desempenho ou a latência. Ao substituir a ofuscação pesada e a dependência estrutural rígida por uma busca arquitetural inteligente e isolamento lógico via envenenamento, o SPOILER oferece uma solução prática e escalável para a implantação segura de IA em dispositivos móveis e de borda.