Erklärbar AI kann vertraulech Donnéeë méi einfach opginn

Fuerscher vun der National University of Singapore hunn ofgeschloss datt wat méi erklärbar AI gëtt, dest méi einfach gëtt et vital Privatsphärfeatures a Maschinnléieresystemer ze ëmgoen. Si hunn och fonnt datt och wann e Modell net erklärbar ass, et méiglech ass Erklärunge vun ähnlechen Modeller ze benotzen fir sensibel Donnéeën am net-erklärbare Modell ze 'decodéieren'.

d' FuerschungTitel Ausnotzen Erklärungen fir Model Inversion Attacken, ënnersträicht d'Risike vun der "zoufälleger" Opazitéit vun der Aart a Weis wéi neural Netzwierker funktionnéieren, wéi wann dëst eng By-Design Sécherheetsfeature wier - net zulescht well eng Welle vun neie globalen Initiativen, dorënner d'Europäesch Unioun Entworf AI Reglementer, sinn charakteriséiert erklärbar AI (XAI) als Viraussetzung fir déi eventuell Normaliséierung vum Maschinnléieren an der Gesellschaft.

D'Fuerscher kommentéieren:

'Erklärbar kënschtlech Intelligenz (XAI) liwwert méi Informatioun fir d'Benotzer ze hëllefen Modellentscheedungen ze verstoen, awer dëst zousätzlech Wëssen exponéiert zousätzlech Risiken fir Privatsphärattacken. Dofir schued d'Erklärung d'Privatsphär.'

Re-Identifikatioun vu Privaten Donnéeën

D'Participanten an d'Maschinn Léieren Datesätz hu vläicht zoustëmmen op der Virgab vun der Anonymitéit abegraff ze ginn; am Fall vu perséinlechen identifizéierter Informatioun (PII), déi an AI Systemer iwwer ad hoc Datesammelen ophalen (zum Beispill iwwer sozial Netzwierker), kann d'Participatioun technesch legal sinn, awer belaascht d'Notioun vun 'Zoustëmmung'.

Verschidde Methoden sinn an de leschte Joeren entstanen, déi bewisen hunn, PII ze de-anonymiséieren aus anscheinend opaken Maschinnléierdatenfloss. Model Extraktioun benotzt API Zougang (dh 'schwaarz Këscht' Zougang, ouni speziell Disponibilitéit vum Quellcode oder Daten) fir PII ze extrahieren och vun héich-Skala MLaaS Ubidder, dorënner Amazon Web Services, während Memberschaft Inferenz Attacken (MIA), déi ënner ähnlechen Aschränkungen operéiere kënnen, potenziell kréien vertraulech medezinesch Informatioun; zousätzlech Attributioun Inference Attacken (AIAs) kann recuperéieren sensibel Donnéeën aus API Ausgang.

Opzeweisen Gesiichter

Fir den neie Pabeier hunn d'Fuerscher sech op e Modell Inversiounsattack konzentréiert fir eng Identitéit aus engem Ënnerdeel vun Gesiichts Emotiounen Daten ze kréien, déi net fäeg sinn dës Informatioun z'entdecken.

D'Zil vum System war d'Biller, déi an der Wëld fonnt goufen (entweder zoufälleg um Internet gepost oder an enger potenzieller Dateverletzung) mat hirer Inklusioun an den Datesätz ze verbannen, déi e Maschinnléier Algorithmus ënnersträichen.

D'Fuerscher trainéiert en Inversion Attack Modell, deen fäeg ass dat bäidréit Bild vun der anonymiséierter API-Output ze rekonstruéieren, ouni speziellen Zougang zu der ursprénglecher Architektur. Virdrun Aarbecht an dësem Beräich konzentréiert sech op Systemer wou Identifikatioun (Schutz oder Entdeckung) d'Zil vum Zilsystem an dem Ugrëffssystem war; an dësem Fall ass de Kader entworf fir d'Ausgab vun engem Domain auszenotzen an op eng aner Domain z'applizéieren.

A ëmgesat convolutional neural network (CNN) gouf benotzt fir en 'original' Quell Gesiicht ze virauszesoen baséiert op dem Zilprediktiounsvektor (Saliency Map) fir en Emotiounen Unerkennungssystem, mat engem U-Net Architektur fir d'Performance vun der Gesiichtsrekonstruktioun ze verbesseren.

Testen

Beim Testen vum System hunn d'Fuerscher et géint dräi Datesätz applizéiert:  iCV-MEFED Gesiicht Ausdréck; CelebA; an MNIST handgeschriwwe Zifferen. Fir d'Modellgréisst z'empfänken, déi vun de Fuerscher benotzt gëtt, goufen déi dräi Datesätz respektiv op 128 × 128, 265 × 256 an 32 × 32 Pixel geännert. 50% vun all Set gouf als Trainingsdaten benotzt, an déi aner Halschent benotzt als Attack-Datet fir d'Antagonistmodeller ze trainéieren.

All Datesaz hat verschidden Zilmodeller, an all Attacknetz gouf op d'Limitatioune vun den Erklärungen, déi de Prozess ënnersträichen, skaléiert, anstatt méi déif neural Modeller ze benotzen, deenen hir Komplexitéit d'Generaliséierung vun den Erklärungen iwwerschreiden.

D'XAI Erklärungstypen déi benotzt gi fir d'Versuche mat abegraff Gradient Erklärung, Gradient Input, Grad-CAM a Layer-Wise Relevanz Verbreedung (LRP). D'Fuerscher hunn och verschidde Erklärungen iwwer d'Experimenter evaluéiert.

D'Metriken fir den Test goufen pixelwise Ähnlechkeet bewäert duerch Mean Squared Feeler (MSE); Bild Ähnlechkeet (SSIM), e perceptuell baséiert Ähnlechkeetsindex; Attack Genauegkeet, bestëmmt duerch ob e Klassifizéierer kann e rekonstruéiert Bild erfollegräich nei Label; an Attack Embedding Ähnlechkeet, déi d'Feature Embeddings vu bekannte Quelldaten géint rekonstruéiert Daten vergläicht.

Re-Identifikatioun gouf erreecht, mat variabelen Niveauen no der Aufgab an den Datesets, iwwer all Sets. Weider hunn d'Fuerscher erausfonnt datt andeems se e Surrogat-Zielmodell ausschaffen (iwwer deen se natierlech komplett Kontroll haten), et nach ëmmer méiglech war d'Erneierung vun Daten aus externen 'zouene' Modeller z'erreechen, baséiert op bekannte XAI Prinzipien.

D'Fuerscher hunn erausfonnt datt déi genaust Resultater duerch Aktivéierungsbaséiert (Saliency Kaart) Erklärungen kritt goufen, déi méi PII wéi Sensibilitéitsbaséiert (Gradient) Approche leet.

An zukünfteg Aarbecht wëll d'Team verschidden Aarte vu XAI Erklärungen an nei Attacken integréieren, wéi z. Feature Visualiséierungen an Konzept Aktivéierungsvektoren.