Les nostres ciutats s’omplen de sensors, semàfors intel·ligents, càmeres i dispositius connectats que funcionen de manera autònoma. També ho fan hospitals, xarxes elèctriques i, aviat, les infraestructures 6G. Tots aquests sistemes tenen una cosa en comú: necessiten intel·ligència artificial per prendre decisions ràpides i fiables en situacions crítiques.

Però hi ha un problema. Els grans models d’IA, els que han revolucionat el llenguatge, la visió per computador o la detecció d’amenaces, són massa voluminosos i costosos per viure dins d’un semàfor o un sensor d’aigua. Per això, en els darrers anys, ha pres força una tècnica que permet “reduir” aquests models sense perdre’n l’essència, la knowledge distillation. Dit planerament, consisteix a ensenyar a un model petit tot allò que sap un model gran.

"Els grans models d’IA, els que han revolucionat el llenguatge, la visió per computador o la detecció d’amenaces, són massa voluminosos i costosos per viure dins d’un semàfor o un sensor d’aigua"

Aquesta idea sembla impecable, però el procés d’aprenentatge és vulnerable. Si algú manipula el coneixement que el model petit rep mentre s’està formant, pot introduir-hi biaixos, errors o comportaments maliciosos. Petites alteracions en les probabilitats que envia el model gran i que poden desviar de manera significativa el comportament final, fins i tot amb una fracció mínima de dades contaminades. Els riscos s’accentuen en entorns d’aprenentatge federat, on un sol dispositiu pot enverinar tot el conjunt, i també hi ha vulnerabilitats en forma d’escoltes passives que permeten extreure informació sensible. Les defenses existents solen ser massa pesades i, per tant, inviables en dispositius IoT amb recursos limitats.

A i2CAT estem fent recerca per donar resposta a una pregunta clau: com podem fer que aquests models petits siguin segurs, tot i funcionar en dispositius simples i exposats? Per abordar-ho, analitzem conjuntament com es poden atacar, quins efectes reals tenen els atacs i com es poden prevenir sense superar les limitacions d’aquests entorns. D’una banda, estudiem les diferents vies per comprometre el procés de destil·lació, des de manipulacions del canal fins a actualitzacions falses o dispositius compromesos. Això ens permet recrear escenaris creïbles, com un semàfor intel·ligent aprenent informació adulterada o un node d’una xarxa 6G intentant introduir patrons desviats. Paral·lelament, mesurem l’impacte real d’aquests atacs en condicions pròpies d’un dispositiu IoT, amb CPU limitada i sense acceleradors. En aquest entorn, petites manipulacions poden reduir la precisió, amplificar biaixos o provocar alertes incorrectes, i alguns atacs actuen de manera tan subtil que només es manifesten quan el model ja està desplegat. Finalment, explorem defenses prou lleugeres per funcionar a l’edge, com detectors d’anomalies en les probabilitats que rep el model, proteccions de comunicació que no saturen la xarxa o auditories que identifiquen vulnerabilitats abans del desplegament. Tot plegat obliga a buscar un equilibri delicat: defenses sòlides però executables en dispositius modestos.

"La veritable expansió de la intel·ligència artificial, la que afectarà la mobilitat, l’energia, l’aigua o la seguretat ciutadana, dependrà de models petits desplegats directament en l’entorn físic"

La veritable expansió de la intel·ligència artificial, la que afectarà la mobilitat, l’energia, l’aigua o la seguretat ciutadana, dependrà de models petits desplegats directament en l’entorn físic. Aquests models prendran decisions immediates en espais exposats i no estaran protegits dins d’un centre de dades. Per això, la seguretat de la IA no és un luxe tècnic, és una necessitat social. Si un model encarregat de detectar anomalies en un pont, una xarxa elèctrica o una cruïlla de trànsit aprèn informació adulterada, el risc és real. I si milers de dispositius cooperen per entrenar un model compartit, un sol node maliciós pot contaminar tot el conjunt. Ens cal treballar ara en solucions robustes, eficients i aplicables a escala. Igual que tenim estàndards de seguretat en alimentació o vehicles, necessitem estàndards per a la IA d’edge.

La destil·lació segura i les defenses pensades per a dispositius limitats tot just comencen. La nostra recerca continuarà avançant en com fer que aquests models siguin més fiables i resistents, i ja treballem en escenaris aplicats, com la detecció d’anomalies en sistemes IoT o l’orquestració en xarxes 6G. I aquí és on entra en joc la societat: la IA que viurà al nostre voltant ha de ser segura per disseny. Només així podrà protegir-nos i ajudar-nos. Ens toca construir-la i exigir-la.