MLaaS: API valdomų modelių vagysčių prevencija naudojant variacinius automatinius kodavimo įrenginius

Mašininis mokymasis kaip paslauga (MLaaS) panaudoja brangių tyrimų ir modelių mokymo vaisius per API, kurios suteikia klientams prieigą prie įžvalgų iš sistemos. Nors sistemos samprotavimai tam tikru mastu neišvengiamai atskleidžiami per šias operacijas, pagrindinė modelio architektūra, svoriai, apibrėžiantys modelio naudingumą, ir konkretūs mokymo duomenys, dėl kurių jis buvo naudingas, yra pavydėtinai saugomi dėl kelių priežasčių.

Pirma, sistema tikriausiai išnaudojo daugybę nemokamų arba atvirojo kodo (FOSS) kodų saugyklų, o potencialūs konkurentai gali trivialiai pasielgti taip pat, siekdami tų pačių tikslų; antra, daugeliu atvejų modelių naudojami svoriai sudaro 95 % ar daugiau modelio gebėjimo interpretuoti treniruočių duomenis geriau nei konkurentų modeliai ir, be abejo, yra pagrindinė brangių investicijų vertė tiek tyrimų valandų, tiek didelio masto požiūriu, gerai aprūpintas modelių mokymas apie pramonės lygio GPU.

Be to, patentuotų ir viešai prieinamų duomenų, esančių už modelio mokymo duomenų rinkinio, derinys yra potencialiai uždegantis dalykas: kai duomenys yra „originalus“ darbas, gautas naudojant brangius metodus, API naudotojo galimybė per API numanyti duomenų struktūrą arba turinį. - leidžiamos užklausos galėtų leisti jiems iš esmės atkurti kūrinio vertę, suprantant duomenų schemą (leidžiant praktiškai atkurti) arba atkuriant duomenų ypatybes suderinančius svorius, o tai gali sudaryti sąlygas atkurti tuščia“, bet veiksminga architektūra, į kurią būtų galima naudingai apdoroti tolesnę medžiagą.

Duomenų plovimas

Be to, tai, kaip duomenys yra abstrahuojami latentinėje mašininio mokymosi modelio erdvėje treniruočių metu, efektyviai „išplauna“ juos į apibendrintas funkcijas, dėl kurių autorių teisių turėtojams sunku suprasti, ar jų originalus darbas be leidimo buvo asimiliuotas į modelį.

Dabartinė laissez faire Tikėtina, kad per ateinančius 5–10 metų klimatas visame pasaulyje bus vis griežtesnis. ES reglamentų projektai dirbtiniam intelektui jau taikomi apribojimai, susiję su duomenų kilme, ir numatoma skaidrumo sistema, dėl kurios duomenis renkančioms įmonėms būtų sunku apeiti domeno reglamentus, susijusius su žiniatinklio nuskaitymu tyrimų tikslais. Kitos vyriausybės, įskaitant JAV, yra dabar įsipareigoja panašioms reguliavimo sistemoms ilgainiui.

Kadangi mašininio mokymosi sritis iš koncepcijos įrodymo kultūros virsta perspektyvia komercine ekostruktūra, ML modeliai, kurie, kaip nustatyta, pažeidė duomenų apribojimus, netgi daug ankstesnių jų produktų kartojimų, gali būti teisiškai atskleisti.

Todėl rizika numanyti duomenų šaltinius per API skambučius yra susijusi ne tik su pramoniniu šnipinėjimu per modelio inversija ir kitus metodus, bet, be abejo, atsirandančius kriminalistikos metodus, skirtus intelektinės nuosavybės apsaugai, kurie gali nukentėti įmonėms pasibaigus „laukinių vakarų“ mašininio mokymosi tyrimų erai.

API pagrįstas eksfiltravimas kaip priemonė priešiškam puolimui plėtoti

Kai kurios mašininio mokymosi sistemos nuolat atnaujina savo mokymo duomenis ir algoritmus, o ne sukuria galutinį ilgalaikį modelį iš didelio istorinių duomenų rinkinio (kaip, pavyzdžiui, GPT-3). Tai apima sistemas, susijusias su eismo informacija, ir kitus sektorius, kuriuose realaus laiko duomenys yra labai svarbūs nuolatinei ML valdomos paslaugos vertei.

Jei modelio logiką ar duomenų svorį galima „susidėti“ sistemingai apklausiant jį per API, šie veiksniai gali būti nukreipti prieš sistemą priešpriešinių išpuolių forma, kai kenkėjiškai sukurti duomenys gali būti palikti laukinėje gamtoje tose srityse, kuriose tikėtina, kad tikslinė sistema jį pasiims; arba kitais būdais įsiskverbdami į duomenų gavimo procedūras.

Todėl priemonės, nukreiptos prieš API orientuotą atvaizdavimą, taip pat turi įtakos mašininio mokymosi modelių saugumui.

API pagrįsto eksfiltravimo prevencija

Pastaraisiais metais atsirado daug mokslinių tyrimų iniciatyvų, skirtų pateikti metodikas, kurios gali užkirsti kelią modelio architektūros ir konkrečių šaltinio duomenų išvadoms naudojant API skambučius. Naujausias iš jų yra nurodyta Išankstinio spausdinimo metu bendradarbiavo Indijos mokslo instituto Bangalore ir Nference, dirbtiniu intelektu pagrįstos programinės įrangos platforma, įsikūrusi Kembridže, Masačusetso valstijoje, mokslininkai.

teisę Valstybinis modelio ištraukimo atakų aptikimas, tyrimas siūlo sistemą, pavadintą VarDetect, kuriai buvo sukurtas preliminarus kodas prieinama „GitHub“.

Serverio pusėje veikianti „VarDetect“ nuolat stebi vartotojo užklausas API, ieškodama trijų skirtingų pasikartojančių modelių išgavimo šablonų atakų modelių. Tyrėjai praneša, kad VarDetect yra pirmasis tokio pobūdžio gynybos mechanizmas, atlaikantis visus tris tipus. Be to, jis gali atremti atsakomąsias priemones, taikomas užpuolikams, kurie sužino apie gynybos mechanizmą ir siekia jį nugalėti, slėpdami atakų modelius su pauzėmis arba padidindami užklausų skaičių, kad būtų užmaskuotos užklausos, kuriomis bandoma sudaryti modelis.

VarDetect naudoja Variaciniai automatiniai kodavimo įrenginiai (VAE), kad būtų galima efektyviai sukurti euristikos stiliaus įvertinimo zondą gaunamoms užklausoms. Skirtingai nuo ankstesnių metodų, sistema yra apmokyta naudoti patentuotus duomenis, todėl nereikia prieigos prie užpuoliko duomenų, ankstesnių metodų trūkumai ir mažai tikėtinas scenarijus.

Projektui sukurtas tinkintas modelis gaunamas iš trijų viešai prieinamų duomenų rinkinių arba metodų: darbas 2016 m. sukūrė Šveicarijos federalinis technologijos institutas ir Cornell Tech; pridedant triukšmą prie „problemos srities“ duomenų, kaip pirmą kartą buvo parodyta 2017 m PRADA popierius iš Suomijos; ir naršydami į viešumą nukreiptus vaizdus, ​​įkvėptus ActiveThief 2020 tyrimas iš Indijos mokslo instituto.

Dažnio pasiskirstymas, atitinkantis charakteristikas iš integruoto duomenų rinkinio, bus pažymėtas kaip išgavimo signalai.

Tyrėjai pripažįsta, kad įprasti gerybinių galutinių vartotojų užklausų modeliai gali sukelti klaidingus teigiamus rezultatus sistemoje, užkertant kelią įprastam naudojimui. Todėl tokie suvokiami „saugūs“ signalai vėliau gali būti įtraukti į „VarDetect“ duomenų rinkinį ir įtraukiami į algoritmą per nuolatinį mokymo grafiką, atsižvelgiant į pagrindinės sistemos nuostatas.