MLaaS: API virzīta modeļa zādzības novēršana, izmantojot variācijas automātiskos kodētājus

Mašīnmācība kā pakalpojums (MLaaS) izmanto dārgas izpētes un modeļu apmācības augļus, izmantojot API, kas klientiem sniedz piekļuvi sistēmas ieskatiem. Lai gan sistēmas pamatojums zināmā mērā tiek atklāts ar šiem darījumiem, modeļa pamata arhitektūra, svari, kas nosaka modeļa lietderību, un īpašie apmācības dati, kas to padarīja noderīgu, tiek greizsirdīgi apsargāti vairāku iemeslu dēļ.

Pirmkārt, sistēma, visticamāk, ir izmantojusi vairākas bezmaksas vai atvērtā koda (FOSS) koda krātuves, un potenciālie konkurenti triviāli varētu rīkoties līdzīgi, cenšoties sasniegt tos pašus mērķus; otrkārt, daudzos gadījumos modeļu izmantotie svari atspoguļo 95% vai vairāk no modeļa spējas interpretēt treniņu datus labāk nekā konkurentu modeļi, un, iespējams, ir dārgu ieguldījumu pamatvērtība gan pētniecības stundu, gan liela mēroga ziņā, labi nodrošināta modeļu apmācība par nozares līmeņa GPU.

Turklāt patentētu un publiski pieejamu datu kombinācija, kas atrodas aiz modeļa apmācības datu kopas, ir potenciāli aizdedzinoša problēma: ja dati ir “oriģināls” darbs, kas iegūts, izmantojot dārgas metodes, API lietotāja spēja secināt datu struktūru vai saturu, izmantojot API. -atļautie pieprasījumi varētu ļaut viņiem būtībā rekonstruēt darba vērtību, vai nu izprotot datu shēmu (ļaujot praktiski reproducēt), vai reproducējot svarus, kas orķestrē datu iezīmes, kas, iespējams, ļauj reproducēt tukša, bet efektīva arhitektūra, kurā varētu lietderīgi apstrādāt turpmāko materiālu.

Datu legalizēšana

Turklāt veids, kā dati tiek iegūti mašīnmācīšanās modeļa latentā telpā apmācības laikā, tos efektīvi "atmazgā" vispārīgās funkcijās, kas autortiesību īpašniekiem apgrūtina izpratni par to, vai viņu oriģinālais darbs ir bez atļaujas pielīdzināts modelī.

Pašreizējais laissez faire klimats visā pasaulē saistībā ar šo praksi, visticamāk, nākamajos 5–10 gados tiks pakļauts arvien stingrākam regulējumam. ES noteikumu projekts AI jau satur ierobežojumus attiecībā uz datu izcelsmi un paredzamo pārredzamības sistēmu, kas apgrūtinātu datu vākšanas uzņēmumiem apiet domēna noteikumus par tīmekļa kopēšanu pētniecības nolūkos. Citas valdības, tostarp ASV, ir tagad apņemas līdzīgiem normatīvajiem regulējumiem ilgtermiņā.

Tā kā mašīnmācīšanās joma no koncepcijas pierādīšanas kultūras kļūst par dzīvotspējīgu komerciālu ekostruktūru, ML modeļi, kas ir atklājuši datu ierobežojumus, pat daudz agrākos to produktu atkārtojumos, var nonākt likumīgi pakļauti.

Tāpēc risks izsecināt datu avotus, izmantojot API izsaukumus, ir saistīts ne tikai ar rūpniecisko spiegošanu, izmantojot modeļa inversija un citas metodes, bet, iespējams, uz jaunām kriminālistikas metodēm intelektuālā īpašuma aizsardzībai, kas var ietekmēt uzņēmumus pēc tam, kad tuvojas mašīnmācības pētījumu “mežonīgo rietumu” laikmets.

API virzīta eksfiltrācija kā līdzeklis pretuzbrukuma attīstīšanai

Dažas mašīnmācīšanās sistēmas pastāvīgi atjaunina savus apmācības datus un algoritmus, nevis iegūst galīgu, ilgtermiņa vienu modeli no liela vēsturisko datu korpusa (kā, piemēram, GPT-3). Tie ietver sistēmas, kas saistītas ar satiksmes informāciju, un citus sektorus, kur reāllaika dati ir ļoti svarīgi ML vadīta pakalpojuma pastāvīgai vērtībai.

Ja modeļa loģiku vai datu svērumu var “kartēt”, sistemātiski aptaujājot to, izmantojot API, šos faktorus var potenciāli vērst pret sistēmu pretinieku uzbrukumu veidā, kur ļaunprātīgi izveidoti dati var tikt atstāti savvaļā apgabalos, kur mērķa sistēma, visticamāk, to uztvers; vai ar citām metodēm iefiltrējoties datu ieguves rutīnās.

Tāpēc pasākumiem pret API orientētu kartēšanu ir ietekme arī uz mašīnmācīšanās modeļu drošību.

API vadītas eksfiltrācijas novēršana

Pēdējos gados ir radušās vairākas pētniecības iniciatīvas, lai nodrošinātu metodoloģijas, kas var novērst modeļa arhitektūras un konkrētu avota datu secināšanu, izmantojot API zvanus. Jaunākais no tiem ir aprakstīts pirmsdrukas sadarbībā starp pētniekiem no Indijas Zinātņu institūta Bangalorā un Nference, uz AI balstītas programmatūras platformas, kas atrodas Kembridžā, Masačūsetsā.

tiesības Modeļu ekstrakcijas uzbrukumu statusa noteikšanaPētījumā tiek piedāvāta sistēma VarDetect, kurai ir bijis provizoriskais kods pieejami vietnē GitHub.

VarDetect, kas darbojas servera pusē, nepārtraukti uzrauga lietotāju vaicājumus API, meklējot trīs atšķirīgus atkārtotu modeļu ekstrakcijas modeļu uzbrukumu modeļus. Pētnieki ziņo, ka VarDetect ir pirmais šāda veida aizsardzības mehānisms, kas iztur visus trīs veidus. Turklāt tas var novērst pretpasākumus, ko veic uzbrucēji, kuri apzinās aizsardzības mehānismu un cenšas to sakaut, slēpjot uzbrukuma modeļus ar pauzēm vai palielinot vaicājumu apjomu, lai aptumšotu pieprasījumus, kas mēģina izveidot modelis.

VarDetect izmanto Variāciju autokodētāji (VAE), lai efektīvi izveidotu ienākošo pieprasījumu heiristikas stila novērtēšanas zondi. Atšķirībā no iepriekšējām metodēm, sistēma ir apmācīta par patentētiem datiem, novēršot nepieciešamību piekļūt uzbrucēju datiem, iepriekšējo pieeju vājumu un maz ticamu scenāriju.

Projektam izstrādātais pielāgotais modelis ir iegūts no trim publiski pieejamām datu kopām vai pieejām: darbs 2016. gadā izstrādāja Šveices Federālais tehnoloģiju institūts un Cornell Tech; pievienojot “problēmu domēna” datiem troksni, kā pirmo reizi tika parādīts 2017. gadā PRADA papīrs no Somijas; un pārmeklējot publiski redzamus attēlus, iedvesmojoties no ActiveThief 2020 pētniecība no Indijas Zinātņu institūta.

Frekvenču sadalījumi, kas atbilst iebūvētās datu kopas raksturlielumiem, tiks atzīmēti kā ekstrakcijas signāli.

Pētnieki atzīst, ka parastie pieprasījumu modeļi no labdabīgiem galalietotājiem var potenciāli izraisīt kļūdaini pozitīvus rezultātus sistēmā, novēršot normālu lietošanu. Tāpēc šādus uztvertos “drošos” signālus pēc tam var pievienot VarDetect datu kopai, iekļaujot tos algoritmā, izmantojot mainīgu apmācības grafiku, atkarībā no resursdatora sistēmas preferencēm.