Mesterséges Intelligencia
DRM számítógépes látás adatkészletekhez
A történelem azt sugallja, hogy végül a számítógépes látáskutatás „nyílt” korszaka, ahol a reprodukálhatóság és a kedvező szakértői értékelés központi szerepet játszik egy új kezdeményezés kidolgozásában, át kell engednie a helyét a szellemi tulajdon védelmének új korszakának – ahol a zárt mechanizmusok és a falakkal körülvett platformok megakadályozzák a versenytársakat aláássák a magas adatkészlet-fejlesztési költségeket, vagy egy költséges projekt puszta lépcsőfokként való felhasználásától a saját (talán jobb) verzió kifejlesztéséhez.
Jelenleg a protekcionizmus irányába mutató növekvő tendenciát főként az API hozzáférés mögé zárt saját központi keretrendszerek támogatják, ahol a felhasználók ritka tokeneket vagy kéréseket küldenek be, és ahol a keretrendszer válaszait értékessé tevő átalakítási folyamatok teljesen el vannak rejtve.
Más esetekben magát a végleges modellt is kiadhatják, de a központi információk nélkül, amelyek értékessé teszik, például az előre betanított súlyok nélkül. több millióba kerülhetett generálni; vagy hiányzik egy védett adatkészlet, vagy annak pontos részletei, hogyan állítottak elő egy részhalmazt egy sor nyílt adatkészletből. Az OpenAI transzformatív természetes nyelvi GPT-3 modellje esetében jelenleg mindkét védelmi intézkedés használatban van, így a modell imitátorai, mint pl. GPT Neo, hogy a lehető legjobban összeállítsák a termék közelítését.
Másolásvédő képadatkészletek
Mindazonáltal egyre növekszik az érdeklődés azon módszerek iránt, amelyek révén egy „védett” gépi tanulási keretrendszer visszanyerheti a hordozhatóság bizonyos szintjét, biztosítva, hogy csak az arra jogosult felhasználók (például fizetős felhasználók) használhassák nyereségesen a kérdéses rendszert. Ez általában magában foglalja az adatkészlet valamilyen programozott módon történő titkosítását, így az AI-keretrendszer „tisztán” olvassa be a betanítási időben, de kompromittálódik, vagy valamilyen módon használhatatlan bármilyen más környezetben.
Egy ilyen rendszert javasoltak az Anhui-i Kínai Tudományos és Technológiai Egyetem és a sanghaji Fudan Egyetem kutatói. Című Invertible Image Dataset Protection, a papír olyan folyamatot kínál, amely automatikusan hozzáad ellenséges példa perturbáció képadatkészletre, így azt kalózkodás esetén nem lehet hasznosan kiképzésre használni, hanem ahol a védelmet egy titkos tokent tartalmazó jogosult rendszer teljes mértékben kiszűri.
A védelmet lehetővé tevő mechanizmust reversible adversarial example generator (RAEG) nevezik, és gyakorlatilag a tényleges titkosítást jelenti. használhatóság a képek osztályozási célból történő felhasználásával visszafordítható adatrejtés (RDH). A szerzők kijelentik:
„A módszer először létrehozza az ellenséges képet a meglévő AE módszerekkel, majd beágyazza az ellenséges perturbációt az ellenséges képbe, és létrehozza a stego képet az RDH segítségével. A visszafordíthatóság sajátossága miatt az ellenséges perturbáció és az eredeti kép visszaállítható.'
Az adatkészlet eredeti képei egy U-alakú invertálható neurális hálózatba (INN) kerülnek betáplálásra annak érdekében, hogy ellenséges hatású képeket hozzanak létre, amelyek az osztályozási rendszerek megtévesztésére szolgálnak. Ez azt jelenti, hogy a tipikus jellemzők kinyerése aláásásra kerül, ami megnehezíti az olyan tulajdonságok osztályozását, mint a nem és más arcalapú jellemzők (bár az architektúra számos tartományt támogat, nem csak arcalapú anyagokat).
Így, ha a „sérült” vagy „titkosított” adatkészletet egy GAN-alapú arcgenerálásra tervezett keretrendszerben vagy arcfelismerési célokra kíséreljük meg használni, az eredményül kapott modell kevésbé lesz hatékony, mint az lett volna, ha arra tanítják. zavartalan képek.
A képek zárolása
Ez azonban csak egy mellékhatása a népszerű perturbációs módszerek általános alkalmazhatóságának. Valójában az elképzelt használati esetben az adatok megbénulnak, kivéve a célkeretrendszerhez való engedélyezett hozzáférés esetét, mivel a tiszta adatok központi „kulcsa” egy titkos token a célarchitektúrán belül.
Ennek a titkosításnak ára van; a kutatók az eredeti képminőség elvesztését „enyhe torzításként” és állapotként jellemzik '[A] javasolt módszerrel szinte tökéletesen vissza lehet állítani az eredeti képet, míg a korábbi módszerekkel csak egy elmosódott változatot.'
A kérdéses korábbi módszerek 2018 novemberéből származnak papír A jogosulatlan mesterséges intelligencia nem tud felismerni engem: Megfordítható ellenséges példa, két kínai egyetem és a RIKEN Center for Advanced Intelligence Project (AIP) együttműködése; és Megfordítható ellenséges támadás, amely megfordítható képátalakításon alapulEgy 2019 papír a kínai akadémiai kutatási szektorból is.
Az új tanulmány kutatói azt állítják, hogy a korábbi megközelítésekhez képest jelentős javulást értek el a visszaállított képek használhatóságában, megfigyelve, hogy az első megközelítés túlságosan érzékeny a közvetítő interferenciára, és túl könnyen megkerülhető, míg a második túlzott romlást okoz. az eredeti képek (engedélyezett) képzési időben, aláásva a rendszer alkalmazhatóságát.
Architektúra, adatok és tesztek
Az új rendszer egy generátorból, egy perturbációt alkalmazó támadási rétegből, előre betanított célosztályozókból és egy megkülönböztető elemből áll.
Az alábbiakban a két korábbi megközelítéssel végzett teszt-összehasonlítás eredményei láthatók, három adatkészlet felhasználásával: CelebA-100; Caltech-101; és Mini-ImageNet.
A három adatkészletet célosztályozási hálózatokká képezték ki 32-es kötegmérettel egy NVIDIA RTX 3090-en egy hét alatt, 50 korszakon keresztül.
A szerzők azt állítják, hogy a RAEG az első olyan munka, amely olyan invertálható neurális hálózatot kínál, amely aktívan képes ellenséges példákat generálni.
Első megjelenés: 4. január 2022.