Limitazione dei set di dati di visione computerizzata contro l’uso non autorizzato

I ricercatori della Cina hanno sviluppato un metodo per proteggere con diritto d’autore i set di dati di immagini utilizzati per l’addestramento della visione computerizzata, effettivamente “marcando” le immagini nei dati e poi decrittando le immagini “pulite” tramite una piattaforma cloud per utenti autorizzati soltanto.

I test sul sistema mostrano che l’addestramento di un modello di apprendimento automatico sulle immagini protette da diritto d’autore provoca un calo catastrofico dell’accuratezza del modello. Testando il sistema su due set di dati di immagini open source popolari, i ricercatori hanno scoperto che è possibile ridurre le accuratezze dal 86,21% e 74,00% per i set di dati puliti a 38,23% e 16,20% quando si tenta di addestrare modelli sui dati non decrittati.

Dallo studio – esempi, da sinistra a destra, di immagini pulite, protette (cioè perturbate) e recuperate. Source: https://arxiv.org/pdf/2109.07921.pdf

Ciò potrebbe consentire una vasta distribuzione pubblica di set di dati di alta qualità e costosi, e (presumibilmente), anche un addestramento “demo” semidanneggiato dei set di dati per dimostrare una funzionalità approssimativa.

Autenticazione del set di dati basata su cloud

Lo studio proviene da ricercatori di due dipartimenti dell’Università di Aeronautica e Astronautica di Nanjing, e prevede l’uso routinario di una Piattaforma di gestione dei set di dati cloud (DMCP), un framework di autenticazione remota che fornirebbe lo stesso tipo di convalida pre-lancio basata sulla telemetria come è diventato comune in installazioni locali onerose come Adobe Creative Suite.

Il flusso e la struttura del metodo proposto.

L’immagine protetta viene generata attraverso perturbazioni nello spazio delle caratteristiche, un metodo di attacco adversario sviluppato alla Duke University del North Carolina nel 2019.

Le perturbazioni nello spazio delle caratteristiche eseguono un ‘attacco di attivazione’ in cui le caratteristiche di un’immagine vengono spinte verso lo spazio delle caratteristiche di un’immagine avversaria. In questo caso, l’attacco sta forzando un sistema di riconoscimento di apprendimento automatico a classificare un cane come un aereo. Source: https://openaccess.thecvf.com

Successivamente, l’immagine non modificata viene incorporata nell’immagine distorta tramite accoppiamento di blocchi e trasformazione di blocchi, come proposto nel documento del 2016 Nascondimento di dati reversibili in immagini crittografate mediante trasformazione di immagini reversibile.

La sequenza contenente le informazioni di accoppiamento dei blocchi viene quindi incorporata in un’immagine interstiziale temporanea utilizzando la crittografia AES, la cui chiave verrà successivamente recuperata dal DMCP al momento dell’autenticazione. L’algoritmo steganografico Least Significant Bit viene quindi utilizzato per incorporare la chiave. Gli autori si riferiscono a questo processo come Trasformazione di immagine reversibile modificata (mRIT).

La routine mRIT viene essenzialmente invertita al momento della decrittazione, con l’immagine “pulita” ripristinata per l’uso nelle sessioni di addestramento.

Test

I ricercatori hanno testato il sistema sull’architettura ResNet-18 con due set di dati: il lavoro del 2009 CIFAR-10, che contiene 6000 immagini in 10 classi; e TinyImageNet di Stanford, un subset dei dati per la sfida di classificazione ImageNet che contiene un set di dati di addestramento di 100.000 immagini, oltre a un set di convalida di 10.000 immagini e un set di test di 10.000 immagini.

Il modello ResNet è stato addestrato da zero su tre configurazioni: il set di dati pulito, protetto e decrittato. Entrambi i set di dati hanno utilizzato l’ottimizzatore Adam con un tasso di apprendimento iniziale di 0,01, una dimensione del batch di 128 e un’epoca di addestramento di 80.

Risultati di accuratezza di addestramento e test del sistema di crittografia. Sono osservabili perdite minori nelle statistiche di addestramento per le immagini invertite (cioè decrittate).

Sebbene lo studio concluda che “le prestazioni del modello sul set di dati recuperato non sono influenzate”, i risultati mostrano perdite minori per l’accuratezza sui dati recuperati rispetto ai dati originali, dal 86,21% al 85,86% per CIFAR-10 e dal 74,00% al 73,20% su TinyImageNet.

Tuttavia, considerando il modo in cui anche piccoli cambiamenti nella semina (nonché l’hardware GPU) possono influenzare le prestazioni di addestramento, ciò sembra essere un compromesso minimo e efficace per la protezione della proprietà intellettuale contro l’accuratezza.

Paesaggio della protezione del modello

I lavori precedenti si sono concentrati principalmente sulla protezione della proprietà intellettuale dei modelli di apprendimento automatico reali, sull’assunzione che i dati di addestramento stessi siano più difficili da proteggere: uno sforzo di ricerca del 2018 del Giappone ha offerto un metodo per inserire filigrane nelle reti neurali profonde; un lavoro precedente del 2017 ha offerto un approccio simile.

Un’iniziativa del 2018 di IBM ha forse condotto la più profonda e impegnativa indagine sul potenziale della filigrana per i modelli di reti neurali. Questo approccio differiva dalla nuova ricerca, in quanto cercava di incorporare filigrane non reversibili nei dati di addestramento e quindi utilizzare filtri all’interno della rete neurale per “scontare” le perturbazioni nei dati.

Lo schema di IBM per una rete neurale per ‘ignorare’ le filigrane si basava sulla protezione delle parti dell’architettura progettate per riconoscere e scartare le sezioni dei dati con filigrana. Source: https://gzs715.github.io/pubs/WATERMARK_ASIACCS18.pdf

Vettore di pirateria

Sebbene la ricerca di framework di crittografia dei set di dati per la protezione della proprietà intellettuale possa sembrare un caso limite nel contesto di una cultura di apprendimento automatico che dipende ancora dalla revisione open source e dalla condivisione di informazioni all’interno della comunità di ricerca globale, l’interesse continuo per gli algoritmi di protezione dell’identità che preservano la privacy sembra probabile che produca periodicamente sistemi che potrebbero essere di interesse per le aziende che cercano di proteggere dati specifici piuttosto che informazioni personali.

La nuova ricerca non aggiunge perturbazioni casuali ai dati delle immagini, ma rather spostamenti forzati nello spazio delle caratteristiche. Pertanto, l’attuale serie di progetti di rimozione di filigrane e miglioramento delle immagini della visione computerizzata potrebbe potenzialmente “ripristinare” le immagini a una qualità percepita dall’uomo più alta senza effettivamente rimuovere le perturbazioni delle caratteristiche che causano la classificazione errata.

In molte applicazioni della visione computerizzata, in particolare quelle che coinvolgono l’etichettatura e il riconoscimento di entità, tali immagini ripristinate illegalmente provocherebbero probabilmente ancora una classificazione errata. Tuttavia, nei casi in cui le trasformazioni delle immagini sono l’obiettivo principale (come la generazione di volti o le applicazioni deepfake), le immagini ripristinate algoritmicamente potrebbero probabilmente essere ancora utili nello sviluppo di algoritmi funzionali.