DRM für Computer Vision-Datensätze

Die Geschichte zeigt, dass das „offene“ Zeitalter der Computervisionsforschung, in dem Reproduzierbarkeit und positive Peer-Reviews für die Entwicklung neuer Initiativen von zentraler Bedeutung sind, letztendlich einer neuen Ära des IP-Schutzes weichen muss – in der geschlossene Mechanismen und abgeschottete Plattformen Wettbewerber daran hindern, die hohen Kosten für die Datensatzentwicklung zu untergraben oder ein kostspieliges Projekt lediglich als Sprungbrett für die Entwicklung ihrer eigenen (vielleicht besseren) Version zu nutzen.

Derzeit wird der wachsende Trend zum Protektionismus hauptsächlich dadurch unterstützt, dass proprietäre zentrale Frameworks hinter dem API-Zugriff abgeschirmt werden, in die Benutzer nur wenige Token oder Anfragen senden und in denen die Transformationsprozesse, die die Antworten des Frameworks wertvoll machen, vollständig verborgen bleiben.

In anderen Fällen wird möglicherweise das endgültige Modell selbst veröffentlicht, jedoch ohne die zentralen Informationen, die es wertvoll machen, wie beispielsweise die vorab trainierten Gewichte dürfte mehrere Millionen gekostet haben zu generieren; oder es fehlt ein proprietärer Datensatz oder genaue Details darüber, wie eine Teilmenge aus einer Reihe offener Datensätze erstellt wurde. Im Fall des transformativen Natural Language-Modells GPT-3 von OpenAI werden derzeit beide Schutzmaßnahmen eingesetzt, sodass die Nachahmer des Modells, wie z. B. GPT Neo, um so gut wie möglich eine Annäherung an das Produkt zusammenzuschustern.

Bilddatensätze mit Kopierschutz versehen

Das Interesse an Methoden, mit denen ein „geschütztes“ Machine-Learning-Framework wieder ein gewisses Maß an Portabilität erreichen kann, wächst jedoch. Dies geschieht, indem sichergestellt wird, dass nur autorisierte Benutzer (z. B. zahlende Nutzer) das System gewinnbringend nutzen können. Dies beinhaltet in der Regel die programmgesteuerte Verschlüsselung des Datensatzes, sodass dieser während des Trainings vom KI-Framework zwar „sauber“ gelesen wird, in anderen Kontexten jedoch kompromittiert oder unbrauchbar ist.

Ein solches System wurde gerade von Forschern der Universität für Wissenschaft und Technologie Chinas in Anhui und der Fudan-Universität in Shanghai vorgeschlagen. Betitelt Invertierbarer Bilddatensatzschutz, hat das Krepppapier bietet eine Pipeline, die automatisch hinzufügt kontradiktorisches Beispiel Störung auf einen Bilddatensatz übertragen werden, so dass dieser nicht sinnvoll für das Training im Falle einer Piraterie verwendet werden kann, sondern der Schutz durch ein autorisiertes System, das einen geheimen Token enthält, vollständig herausgefiltert wird.

Aus dem Dokument: Ein „wertvolles“ Quellbild wird mithilfe von gegnerischen Beispieltechniken praktisch untrainierbar gemacht, wobei die Störungen für einen „autorisierten“ Benutzer systematisch und vollständig automatisch entfernt werden. Quelle: https://arxiv.org/pdf/2112.14420.pdf

Der Mechanismus, der den Schutz ermöglicht, wird als Reversible Adversarial Sample Generator (RAEG) bezeichnet und kommt im Grunde einer Verschlüsselung der Realität gleich Nutzbarkeit der Bilder zu Klassifizierungszwecken nutzen Reversibles Verbergen von Daten (RDH). Die Autoren geben an:

„Die Methode erzeugt zunächst das gegnerische Bild mithilfe vorhandener AE-Methoden, bettet dann die gegnerische Störung in das gegnerische Bild ein und erzeugt das Stego-Bild mithilfe von RDH. Aufgrund der Reversibilitätseigenschaft können die gegnerische Störung und das Originalbild wiederhergestellt werden.“

Die Originalbilder aus dem Datensatz werden in ein U-förmiges invertierbares neuronales Netzwerk (INN) eingespeist, um kontroverse Bilder zu erzeugen, die so gestaltet sind, dass sie Klassifizierungssysteme täuschen. Dies bedeutet, dass die typische Merkmalsextraktion untergraben wird, was die Klassifizierung von Merkmalen wie Geschlecht und anderen gesichtsbasierten Merkmalen erschwert (obwohl die Architektur eine Reihe von Domänen unterstützt und nicht nur gesichtsbasiertes Material).

Ein Inversionstest von RAEG, bei dem vor der Rekonstruktion verschiedene Arten von Angriffen auf die Bilder durchgeführt werden. Zu den Angriffsmethoden gehören Gaußsche Unschärfe und JPEG-Artefakte.

Wenn Sie also versuchen, den „beschädigten“ oder „verschlüsselten“ Datensatz in einem Framework zu verwenden, das für die GAN-basierte Gesichtsgenerierung oder für Gesichtserkennungszwecke entwickelt wurde, ist das resultierende Modell weniger effektiv, als wenn es mit ungestörten Bildern trainiert worden wäre.

Sperren der Bilder

Dies ist jedoch nur ein Nebeneffekt der allgemeinen Anwendbarkeit gängiger Störungsmethoden. Tatsächlich werden die Daten im vorgesehenen Anwendungsfall außer im Falle eines autorisierten Zugriffs auf das Zielframework beschädigt, da der zentrale „Schlüssel“ zu den sauberen Daten ein geheimes Token innerhalb der Zielarchitektur ist.

Diese Verschlüsselung hat allerdings ihren Preis. Die Forscher bezeichnen den Verlust der ursprünglichen Bildqualität als „leichte Verzerrung“ und erklären: „[Die] vorgeschlagene Methode kann das Originalbild nahezu perfekt wiederherstellen, während die vorherigen Methoden nur eine verschwommene Version wiederherstellen können.“

Die bisher fraglichen Methoden stammen aus dem November 2018 Krepppapier Unbefugte KI kann mich nicht erkennen: Beispiel für einen reversiblen Gegner, eine Zusammenarbeit zwischen zwei chinesischen Universitäten und dem RIKEN Center for Advanced Intelligence Project (AIP); Und Reversibler gegnerischer Angriff basierend auf reversibler Bildtransformationherunter, eine 2019 Papier auch aus dem chinesischen akademischen Forschungssektor.

Die Forscher der neuen Arbeit behaupten, im Vergleich zu diesen früheren Ansätzen bemerkenswerte Verbesserungen bei der Benutzerfreundlichkeit wiederhergestellter Bilder erzielt zu haben, und stellen fest, dass der erste Ansatz zu empfindlich gegenüber Zwischenstörungen und zu leicht zu umgehen ist, während der zweite zu einer übermäßigen Verschlechterung führt der Originalbilder zum (autorisierten) Trainingszeitpunkt, was die Anwendbarkeit des Systems untergräbt.

Architektur, Daten und Tests

Das neue System besteht aus einem Generator, einer Angriffsschicht, die Störungen anwendet, vorab trainierten Zielklassifikatoren und einem Diskriminatorelement.

Die Architektur von RAEG. Links in der Mitte sehen wir das geheime Zeichen „I.“_prt', was eine De-Störung des Bildes zur Trainingszeit ermöglicht, indem die gestörten Merkmale, die in den Quellbildern verankert sind, identifiziert und ignoriert werden.

Nachfolgend finden Sie die Ergebnisse eines Testvergleichs mit den beiden vorherigen Ansätzen unter Verwendung von drei Datensätzen: CelebA-100; Caltech-101; Und Mini-ImageNet.

Die drei Datensätze wurden im Laufe einer Woche über 32 Epochen als Zielklassifizierungsnetzwerke mit einer Stapelgröße von 3090 auf einer NVIDIA RTX 50 trainiert.

Die Autoren behaupten, dass RAEG das erste Werk ist, das ein invertierbares neuronales Netzwerk anbietet, das aktiv kontradiktorische Beispiele generieren kann.

Erstveröffentlichung am 4. Januar 2022.