Connect with us

DRM pour les jeux de données de vision par ordinateur

Intelligence artificielle

DRM pour les jeux de données de vision par ordinateur

mm
Published
Updated

L’histoire suggère que l’ère « ouverte » de la recherche en vision par ordinateur, où la reproductibilité et la révision par les pairs favorables sont centrales pour le développement d’une nouvelle initiative, doit finalement céder la place à une nouvelle ère de protection de la propriété intellectuelle – où les mécanismes fermés et les plateformes murées empêchent les concurrents de miner les coûts élevés de développement de jeux de données, ou d’utiliser un projet coûteux comme un simple tremplin pour développer leur propre version (peut-être supérieure).

Actuellement, la tendance croissante vers le protectionnisme est principalement soutenue par l’enclos des cadres centraux propriétaires derrière l’accès API, où les utilisateurs envoient des jetons ou des requêtes éparses, et où les processus de transformation qui rendent les réponses du cadre précieuses sont entièrement cachés.

Dans d’autres cas, le modèle final lui-même peut être publié, mais sans les informations centrales qui le rendent précieux, telles que les poids pré-entraînés qui peuvent avoir coûté plusieurs millions à générer ; ou sans un jeu de données propriétaire, ou sans détails exacts sur la façon dont un sous-ensemble a été produit à partir d’une gamme de jeux de données ouverts. Dans le cas du modèle de langage naturel transformateur d’OpenAI GPT-3, les deux mesures de protection sont actuellement utilisées, laissant les imitateurs du modèle, tels que GPT Neo, à assembler une approximation du produit comme ils le peuvent.

Protection des jeux de données d’images

Cependant, l’intérêt grandit pour les méthodes par lesquelles un cadre d’apprentissage automatique « protégé » pourrait regagner une certaine portabilité, en s’assurant que seuls les utilisateurs autorisés (par exemple, les utilisateurs payants) puissent utiliser avec profit le système en question. Cela implique généralement de chiffrer le jeu de données d’une manière programmatique, de sorte qu’il soit lu « propre » par le cadre d’apprentissage automatique au moment de l’entraînement, mais est compromis ou inutilisable dans tout autre contexte.

Un tel système vient d’être proposé par des chercheurs de l’Université des sciences et de la technologie de Chine à Anhui, et de l’Université Fudan à Shanghai. Intitulé Protection de jeu de données d’images inversible, le document propose un pipeline qui ajoute automatiquement une perturbation d’exemple adverse à un jeu de données d’images, de sorte qu’il ne puisse pas être utilisé avec profit pour l’entraînement en cas de piratage, mais où la protection est entièrement filtrée par un système autorisé contenant un jeton secret.

Du document : une image source « précieuse » est rendue effectivement non entraînable avec des techniques d'exemples adverses, avec les perturbations supprimées systématiquement et entièrement automatiquement pour un utilisateur « autorisé ». Source : https://arxiv.org/pdf/2112.14420.pdf

Du document : une image source « précieuse » est rendue effectivement non entraînable avec des techniques d’exemples adverses, avec les perturbations supprimées systématiquement et entièrement automatiquement pour un utilisateur « autorisé ». Source : https://arxiv.org/pdf/2112.14420.pdf

Le mécanisme qui permet la protection est appelé générateur d’exemple adverse réversible (RAEG), et équivaut effectivement à un chiffrement de l’utilisabilité des images à des fins de classification, en utilisant la dissimulation de données réversible (RDH). Les auteurs déclarent :

‘La méthode génère d’abord l’image adverse en utilisant les méthodes AE existantes, puis intègre la perturbation adverse dans l’image adverse, et génère l’image stéganographique en utilisant la RDH. En raison de la caractéristique de réversibilité, la perturbation adverse et l’image originale peuvent être récupérées.’

Les images originales du jeu de données sont alimentées dans un réseau neuronal invertible en forme de U (INN) afin de produire des images affectées par des adversaires conçues pour tromper les systèmes de classification. Cela signifie que l’extraction de fonctionnalités typique sera compromise, rendant difficile la classification de traits tels que le sexe, et d’autres fonctionnalités basées sur le visage (bien que l’architecture prenne en charge une gamme de domaines, et non seulement le matériel basé sur le visage).

Un test d'inversion de RAEG, où différents types d'attaques sont effectués sur les images avant la reconstruction. Les méthodes d'attaque incluent le flou gaussien et les artefacts JPEG.

Un test d’inversion de RAEG, où différents types d’attaques sont effectués sur les images avant la reconstruction. Les méthodes d’attaque incluent le flou gaussien et les artefacts JPEG.

Ainsi, si l’on tente d’utiliser le jeu de données « corrompu » ou « chiffré » dans un cadre conçu pour la génération de visages basée sur GAN, ou à des fins de reconnaissance faciale, le modèle résultant sera moins efficace qu’il ne l’aurait été s’il avait été formé sur des images non perturbées.

Verrouillage des images

Cependant, ce n’est qu’un effet secondaire de l’applicabilité générale des méthodes de perturbation populaires. En fait, dans le cas d’utilisation envisagé, les données seront handicapées sauf en cas d’accès autorisé au cadre cible, puisque la « clé » des données propres est un jeton secret dans l’architecture cible.

Ce chiffrement est payé au prix ; les chercheurs caractérisent la perte de qualité d’image originale comme une « légère distorsion », et déclarent ‘[La] méthode proposée peut presque parfaitement restaurer l’image originale, tandis que les méthodes précédentes ne peuvent restaurer qu’une version floue.’

Les méthodes précédentes en question sont du document Unauthorized AI ne peut me reconnaître : Exemple adverse réversible, une collaboration entre deux universités chinoises et le projet RIKEN pour les projets avancés d’intelligence (AIP) ; et Attaque adverse réversible basée sur la transformation d’image réversible, un document de 2019 également issu du secteur de la recherche académique chinoise.

Les chercheurs du nouveau document affirment avoir apporté des améliorations notables dans l’utilisabilité des images restaurées, par rapport à ces approches antérieures, observant que la première approche est trop sensible aux interférences intermédiaires, et trop facile à contourner, tandis que la seconde entraîne une dégradation excessive des images originales au moment de l’entraînement (autorisé), compromettant l’applicabilité du système.

Architecture, données et tests

Le nouveau système se compose d’un générateur, d’une couche d’attaque qui applique la perturbation, de classifieurs cibles pré-entraînés, et d’un élément discriminateur.

L'architecture de RAEG. À gauche du milieu, on voit le jeton secret 'Iprt', qui permettra la dé-perturbation de l'image au moment de l'entraînement, en identifiant les fonctionnalités perturbées intégrées dans les images sources et en les annulant.

L’architecture de RAEG. À gauche du milieu, on voit le jeton secret ‘Iprt‘, qui permettra la dé-perturbation de l’image au moment de l’entraînement, en identifiant les fonctionnalités perturbées intégrées dans les images sources et en les annulant.

Voici les résultats d’un test de comparaison avec les deux approches antérieures, en utilisant trois jeux de données : CelebA-100 ; Caltech-101 ; et Mini-ImageNet.

Les trois jeux de données ont été formés comme des réseaux de classification cibles, avec une taille de lot de 32, sur un NVIDIA RTX 3090 au cours d’une semaine, pendant 50 époques.

Les auteurs affirment que RAEG est le premier travail à proposer un réseau neuronal invertible qui peut générer activement des exemples adverses.

 

Publié pour la première fois le 4 janvier 2022.

mm

Écrivain sur l'apprentissage automatique, spécialiste de domaine en synthèse d'images humaines. Ancien responsable du contenu de recherche chez Metaphysic.ai.