Вештачка интелигенција
DRM за сетови со податоци за компјутерска визија
Историјата сугерира дека на крајот „отворената“ ера на истражување на компјутерската визија, каде што репродуктивноста и поволната рецензија од колеги се централни за развојот на нова иницијатива, мора да отстапи место за нова ера на заштита на ИС - каде што затворените механизми и платформите со ѕидови ги спречуваат конкурентите од поткопување на високите трошоци за развој на податоци или од користење на скап проект како обична отскочна штица до развој на сопствена (можеби супериорна) верзија.
Во моментов растечкиот тренд кон протекционизам е главно поддржан со оградување на сопственички централни рамки зад пристапот до API, каде што корисниците испраќаат ретки токени или барања и каде што трансформациските процеси кои ги прават одговорите на рамката вредни се целосно скриени.
Во други случаи, самиот финален модел може да биде објавен, но без централните информации што го прават вреден, како што се претходно обучените тежини што можеби чинеше повеќе милиони да генерира; или нема сопствена база на податоци или точни детали за тоа како подмножеството е произведено од низа отворени збирки на податоци. Во случајот на трансформативниот модел на природен јазик GPT-3 на OpenAI, во моментов се користат и двете мерки за заштита, оставајќи ги имитаторите на моделот, како на пр. GPT Нео, да склопат приближна вредност на производот најдобро што можат.
Збирки на податоци за слики што штитат од копирање
Сепак, расте интересот за методите со кои „заштитената“ рамка за машинско учење би можела да поврати одредено ниво на преносливост, со тоа што ќе се осигура дека само овластените корисници (на пример, платените корисници) можат профитабилно да го користат системот за кој станува збор. Ова обично вклучува шифрирање на базата на податоци на некој програмски начин, така што рамката за вештачка интелигенција ја чита „чиста“ за време на обуката, но е компромитирана или на некој начин неупотреблива во кој било друг контекст.
Таков систем штотуку беше предложен од истражувачите на Универзитетот за наука и технологија на Кина во Анхуи и Универзитетот Фудан во Шангај. Насловен Заштита на збир на податоци со инверзибилна слика, хартија нуди цевковод што автоматски додава противнички пример пертурбација на база на податоци за слики, така што не може да се користи корисно за обука во случај на пиратерија, но каде што заштитата е целосно филтрирана од овластен систем кој содржи таен токен.
Од трудот: „вредната“ изворна слика се прави ефективно необучена со техники на противнички примери, при што пертурбациите се отстрануваат систематски и целосно автоматски за „овластен“ корисник. Извор: https://arxiv.org/pdf/2112.14420.pdf
Механизмот што ја овозможува заштитата се нарекува генератор на реверзибилен противнички пример (RAEG) и ефективно претставува шифрирање на вистинскиот употребливост на сликите за целите на класификација, користејќи реверзибилно криење на податоци (RDH). Авторите наведуваат:
„Методот прво ја генерира противничката слика користејќи ги постоечките методи на AE, потоа ја вградува противничката пертурбација во противничката слика и ја генерира стего сликата користејќи RDH. Поради карактеристиката на реверзибилност, противничката пертурбација и оригиналната слика може да се обноват.'
Оригиналните слики од базата на податоци се внесуваат во инверзибилна невронска мрежа во форма на U (INN) со цел да се произведат противнички погодени слики кои се направени за да ги измамат системите за класификација. Ова значи дека типичната екстракција на карактеристики ќе биде поткопана, што ќе го отежне класифицирањето на особините како што се полот и другите карактеристики засновани на лице (иако архитектурата поддржува низа домени, наместо само материјал заснован на лице).
Тест за инверзија на RAEG, каде што се вршат различни видови напади на сликите пред реконструкцијата. Методите на напад вклучуваат артефакти на Gaussian Blur и JPEG.
Така, ако се обидете да ја користите „расипана“ или „шифрирана“ база на податоци во рамка дизајнирана за генерирање лица базирани на GAN или за препознавање лица, добиениот модел ќе биде помалку ефикасен отколку што би бил ако бил обучен за невознемирени слики.
Заклучување на сликите
Сепак, тоа е само несакан ефект од општата применливост на популарните методи на пертурбација. Всушност, во предвидениот случај на употреба, податоците ќе бидат осакатени, освен во случај на овластен пристап до целната рамка, бидејќи централниот „клуч“ за чистите податоци е таен токен во целната архитектура.
Ова шифрирање доаѓа со цена; Истражувачите го карактеризираат губењето на оригиналниот квалитет на сликата како „мало изобличување“ и состојба „[Предложениот] метод може речиси совршено да ја врати оригиналната слика, додека претходните методи можат да обноват само заматена верзија.
Претходните методи за кои станува збор се од ноември 2018 година хартија Неовластена вештачка интелигенција не може да ме препознае: Реверзибилен противнички пример, соработка помеѓу два кинески универзитети и RIKEN Center for Advanced Intelligence Project (AIP); и Реверзибилен противнички напад базиран на реверзибилна трансформација на сликата, На 2019 хартија исто така од кинескиот сектор за академски истражувања.
Истражувачите на новиот труд тврдат дека направиле забележителни подобрувања во употребливоста на обновените слики, во споредба со овие претходни пристапи, забележувајќи дека првиот пристап е премногу чувствителен на посредни пречки и премногу лесен за заобиколување, додека вториот предизвикува прекумерна деградација на оригиналните слики во (овластено) време на обука, што ја поткопува применливоста на системот.
Архитектура, податоци и тестови
Новиот систем се состои од генератор, слој за напад кој применува пертурбации, претходно обучени класификатори на целта и елемент за дискриминатор.
Архитектурата на RAEG. Лево-средно, го гледаме тајниот знак „Јаспрт', што ќе овозможи де-пертурбација на сликата за време на тренингот, со идентификување на вознемирените карактеристики вметнати во изворните слики и нивно намалување.
Подолу се дадени резултатите од тест споредбата со двата претходни пристапи, користејќи три групи на податоци: CelebA-100; Caltech-101; и Mini-ImageNet.
Трите збирки на податоци беа обучени како целни мрежи за класификација, со големина на серија од 32, на NVIDIA RTX 3090 во текот на една недела, за 50 епохи.
Авторите тврдат дека RAEG е првото дело што нуди инвертибилна невронска мрежа која може активно да генерира противнички примери.
Прво објавено на 4 јануари 2022 година.
