Artificial Intelligence
DRM fyrir tölvusjón gagnasöfn
Sagan bendir til þess að á endanum hljóti hin „opna“ öld tölvusjónrannsókna, þar sem endurtakanleiki og hagstæð ritrýni eru lykilatriði í þróun nýs frumkvæðis, að víkja fyrir nýjum tímum IP-verndar – þar sem lokaðir kerfi og veggir pallar koma í veg fyrir að keppinautar geti grafa undan háum þróunarkostnaði gagnasafna, eða frá því að nota kostnaðarsöm verkefni sem aðeins skref til að þróa sína eigin (kannski betri) útgáfu.
Eins og er, er vaxandi tilhneiging til verndarstefnu aðallega studd af girðingum sem eiga sér miðlæga ramma á bak við API aðgang, þar sem notendur senda dreifðar tákn eða beiðnir inn og þar sem umbreytingarferli sem gera viðbrögð rammans verðmæt eru algjörlega falin.
Í öðrum tilfellum getur loka líkanið sjálft verið gefið út, en án miðlægra upplýsinga sem gera það dýrmætt, svo sem forþjálfaðra lóða sem gæti hafa kostað margar milljónir að búa til; eða skortir sérstakt gagnasafn, eða nákvæmar upplýsingar um hvernig undirmengi var framleitt úr ýmsum opnum gagnasöfnum. Þegar um er að ræða umbreytandi Natural Language líkan OpenAI GPT-3, eru báðar verndarráðstafanirnar í notkun sem stendur og skilja eftirlíkingar líkansins eftir, s.s. GPT Neo, til að leggja saman nálgun á vörunni eins vel og þeir geta.
Afritunarvernd myndgagnasöfn
Hins vegar eykst áhugi á aðferðum sem „varið“ vélanámsrammi gæti endurheimt nokkurt flutningsstig með því að tryggja að aðeins viðurkenndir notendur (til dæmis greiddir notendur) gætu notað viðkomandi kerfi með hagnaði. Þetta felur venjulega í sér að dulkóða gagnasafnið á einhvern forritunarlegan hátt, þannig að það sé lesið „hreint“ af gervigreindarrammanum á þjálfunartíma, en er í hættu eða á einhvern hátt ónothæft í öðru samhengi.
Slíkt kerfi hefur nýlega verið lagt til af vísindamönnum við Vísinda- og tækniháskóla Kína í Anhui og Fudan háskólanum í Shanghai. Titill Invertible Image Dataset Protectioner pappír býður upp á leiðslu sem bætist sjálfkrafa við andstæðingur dæmi truflun yfir í myndagagnasafn, þannig að ekki sé hægt að nota það að gagni við þjálfun ef um sjórán er að ræða, en þar sem verndin er alfarið síuð út af viðurkenndu kerfi sem inniheldur leynilegt tákn.
Úr blaðinu: „verðmæt“ upprunamynd er gerð í raun óþjálfanleg með andstæðri dæmitækni, þar sem truflunum er fjarlægt kerfisbundið og algjörlega sjálfkrafa fyrir „viðurkenndan“ notanda. Heimild: https://arxiv.org/pdf/2112.14420.pdf
Vélbúnaðurinn sem gerir vörnina kleift er kallaður RAEG (reversible adversarial example generator) og jafngildir í raun dulkóðun á raunverulegum notagildi af myndunum til flokkunar, með því að nota afturkræf gögn fela (RDH). Höfundar segja:
„Aðferðin býr fyrst til andstæðingsmyndina með því að nota núverandi AE aðferðir, fellir síðan andstæðingartrufluna inn í andstæðingsmyndina og býr til Stego myndina með því að nota RDH. Vegna eiginleika afturkræfni er hægt að endurheimta andstæða truflunina og upprunalegu myndina.'
Upprunalegu myndirnar úr gagnapakkanum eru færðar inn í U-laga óbeygjanlegt tauganet (INN) til að framleiða myndir sem verða fyrir óhagstæðri áhrifum sem eru gerðar til að blekkja flokkunarkerfi. Þetta þýðir að grafið verður undan dæmigerðri eiginleikaútdrætti, sem gerir það erfitt að flokka eiginleika eins og kyn og aðra eiginleika sem byggja á andliti (þó að arkitektúrinn styðji ýmis svið, frekar en bara andlitsbundið efni).
Inversion próf á RAEG, þar sem mismunandi tegundir árása eru gerðar á myndirnar fyrir endurgerð. Árásaraðferðir innihalda Gaussian Blur og JPEG artefacts.
Þannig að ef reynt er að nota „spillta“ eða „dulkóðaða“ gagnasafnið í ramma sem er hannað fyrir GAN-undirstaða andlitsmyndun, eða í andlitsþekkingarskyni, mun líkanið sem myndast vera minna árangursríkt en það hefði verið ef það hefði verið þjálfað á ótruflaðar myndir.
Að læsa myndunum
Hins vegar er þetta bara aukaverkun af almennu notagildi vinsælra truflanaaðferða. Reyndar, í því notkunartilviki sem fyrirséð er, munu gögnin verða örkumla nema ef um er að ræða viðurkenndan aðgang að markmiðsrammanum, þar sem miðlægi „lykillinn“ að hreinu gögnunum er leynilegt tákn innan markarkitektúrsins.
Þessi dulkóðun kemur með verð; Rannsakendur lýsa tapi á upprunalegum myndgæðum sem „smá röskun“ og staðhæfa '[Fyrirhuguð aðferð getur nánast fullkomlega endurheimt upprunalegu myndina, en fyrri aðferðir geta aðeins endurheimt óskýra útgáfu.'
Fyrri aðferðir sem um ræðir eru frá nóvember 2018 pappír Óviðurkenndur gervigreind getur ekki borið kennsl á mig: Afturkræft Dæmi um andstæðing, samstarf tveggja kínverskra háskóla og RIKEN Center for Advanced Intelligence Project (AIP); og Afturkræf andstæðingur árás byggt á afturkræf myndbreytingu, a 2019 pappír einnig frá kínverska fræðigeiranum.
Rannsakendur nýju ritgerðarinnar segjast hafa gert umtalsverðar endurbætur á nothæfi endurheimtra mynda, samanborið við þessar fyrri aðferðir, og athugaðu að fyrri aðferðin er of viðkvæm fyrir millitruflunum og of auðvelt að sniðganga, en sú seinni veldur óhóflegri niðurbroti af upprunalegu myndunum á (viðurkenndum) þjálfunartíma, sem grefur undan nothæfi kerfisins.
Arkitektúr, gögn og próf
Nýja kerfið samanstendur af rafalli, árásarlagi sem beitir truflun, fyrirfram þjálfuðum markflokkara og mismununareiningu.
Arkitektúr RAEG. Vinstri-miðju sjáum við leynimerkið „Itilbúinn', sem mun leyfa truflun á myndinni á þjálfunartíma, með því að bera kennsl á trufluðu eiginleikana sem eru bakaðir inn í upprunamyndirnar og gefa þeim afslátt.
Hér að neðan eru niðurstöður prófsamanburðar við fyrri aðferðirnar tvær, með því að nota þrjú gagnapakka: CelebA-100; Caltech-101; og Mini-ImageNet.
Gagnasöfnin þrjú voru þjálfuð sem markflokkunarnet, með lotustærð 32, á NVIDIA RTX 3090 á viku, í 50 tímabil.
Höfundarnir halda því fram að RAEG sé fyrsta verkið til að bjóða upp á óbeygjanlegt tauganet sem getur virkan búið til andstæð dæmi.
Fyrst birt 4. janúar 2022.
