toco DRM para conjuntos de dados de visão computacional - Unite.AI
Entre em contato
   Inteligência artificial  
DRM para conjuntos de dados de visão computacional
 mm
 Atualização do on   
 
A história sugere que eventualmente a era “aberta” da investigação em visão computacional, onde a reprodutibilidade e a revisão favorável pelos pares são fundamentais para o desenvolvimento de uma nova iniciativa, deverá dar lugar a uma nova era de protecção da PI – onde mecanismos fechados e plataformas muradas impedem os concorrentes de minando os altos custos de desenvolvimento de conjuntos de dados ou usando um projeto caro como um mero trampolim para desenvolver sua própria versão (talvez superior).
Atualmente, a tendência crescente para o protecionismo é suportada principalmente por cercar estruturas centrais proprietárias por trás do acesso à API, onde os usuários enviam tokens ou solicitações esparsas e onde os processos transformacionais que tornam as respostas da estrutura valiosas estão totalmente ocultos.
Em outros casos, o próprio modelo final pode ser liberado, mas sem as informações centrais que o tornam valioso, como os pesos pré-treinados que pode ter custado vários milhões para gerar; ou falta de um conjunto de dados proprietário, ou detalhes exatos de como um subconjunto foi produzido a partir de uma variedade de conjuntos de dados abertos. No caso do modelo transformativo de linguagem natural GPT-3 da OpenAI, ambas as medidas de proteção estão atualmente em uso, deixando os imitadores do modelo, como GPT Neo, para montar uma aproximação do produto da melhor maneira possível.
Conjuntos de dados de imagens com proteção contra cópia
No entanto, está a crescer o interesse em métodos pelos quais uma estrutura de aprendizagem automática “protegida” possa recuperar algum nível de portabilidade, garantindo que apenas utilizadores autorizados (por exemplo, utilizadores pagos) possam utilizar lucrativamente o sistema em questão. Isso geralmente envolve criptografar o conjunto de dados de alguma forma programática, para que ele seja lido como “limpo” pela estrutura de IA no momento do treinamento, mas seja comprometido ou de alguma forma inutilizável em qualquer outro contexto.
Tal sistema acaba de ser proposto por pesquisadores da Universidade de Ciência e Tecnologia da China, em Anhui, e da Universidade Fudan, em Xangai. Intitulado Proteção de conjunto de dados de imagem invertível, papel oferece um pipeline que adiciona automaticamente perturbação de exemplo adversário a um conjunto de dados de imagem, de modo que não possa ser usado utilmente para treinamento em caso de pirataria, mas onde a proteção é totalmente filtrada por um sistema autorizado contendo um token secreto.
Do papel: uma imagem de origem 'valiosa' é efetivamente não treinada com técnicas de exemplo adversarial, com as perturbações removidas de forma sistemática e totalmente automática para um usuário 'autorizado'. Fonte: https://arxiv.org/pdf/2112.14420.pdf
Do papel: uma imagem de origem 'valiosa' é efetivamente não treinada com técnicas de exemplo adversarial, com as perturbações removidas de forma sistemática e totalmente automática para um usuário 'autorizado'. Fonte: https://arxiv.org/pdf/2112.14420.pdf
O mecanismo que permite a proteção é chamado de gerador de exemplo adversarial reversível (RAEG) e equivale efetivamente à criptografia no real usabilidade das imagens para fins de classificação, usando ocultação de dados reversível (RDH). Os autores afirmam:
'O método primeiro gera a imagem adversária usando métodos AE existentes, então incorpora a perturbação adversária na imagem adversária e gera a imagem stego usando RDH. Devido à característica de reversibilidade, a perturbação adversária e a imagem original podem ser recuperadas.'
As imagens originais do conjunto de dados são alimentadas em uma rede neural invertível (INN) em forma de U para produzir imagens afetadas adversamente que são criadas para enganar os sistemas de classificação. Isso significa que a extração típica de recursos será prejudicada, dificultando a classificação de traços como gênero e outros recursos baseados em face (embora a arquitetura suporte uma variedade de domínios, em vez de apenas material baseado em face).
Um teste de inversão do RAEG, onde diferentes tipos de ataque são executados nas imagens antes da reconstrução. Os métodos de ataque incluem Gaussian Blur e artefatos JPEG.
Um teste de inversão do RAEG, onde diferentes tipos de ataque são executados nas imagens antes da reconstrução. Os métodos de ataque incluem Gaussian Blur e artefatos JPEG.
Assim, se tentar usar o conjunto de dados 'corrompido' ou 'criptografado' em uma estrutura projetada para geração de face baseada em GAN ou para fins de reconhecimento facial, o modelo resultante será menos eficaz do que seria se tivesse sido treinado em imagens imperturbáveis.
Bloqueando as Imagens
No entanto, isso é apenas um efeito colateral da aplicabilidade geral dos métodos populares de perturbação. Na verdade, no caso de uso previsto, os dados serão prejudicados, exceto no caso de acesso autorizado à estrutura de destino, pois a 'chave' central para os dados limpos é um token secreto dentro da arquitetura de destino.
Essa criptografia tem um preço; os pesquisadores caracterizam a perda da qualidade da imagem original como 'distorção leve' e afirmam '[O] método proposto pode restaurar quase perfeitamente a imagem original, enquanto os métodos anteriores podem restaurar apenas uma versão borrada.'
Os métodos anteriores em questão são de novembro de 2018 papel IA não autorizada não pode me reconhecer: exemplo adversário reversível, uma colaboração entre duas universidades chinesas e o RIKEN Center for Advanced Intelligence Project (AIP); e Ataque Adversário Reversível baseado na Transformação de Imagem Reversível, um papel 2019 também do setor de pesquisa acadêmica chinesa.
Os pesquisadores do novo artigo afirmam ter feito melhorias notáveis ​​na usabilidade de imagens restauradas, em comparação com essas abordagens anteriores, observando que a primeira abordagem é muito sensível à interferência de intermediários e muito fácil de contornar, enquanto a segunda causa degradação excessiva das imagens originais em tempo (autorizado) de treinamento, prejudicando a aplicabilidade do sistema.
Arquitetura, dados e testes
O novo sistema consiste em um gerador, uma camada de ataque que aplica perturbação, classificadores de alvo pré-treinados e um elemento discriminador.
A arquitetura do RAEG. No centro à esquerda, vemos o token secreto 'Iprt', que permitirá a desperturbação da imagem no momento do treinamento, identificando os recursos perturbados inseridos nas imagens de origem e descontando-os.
A arquitetura do RAEG. No centro esquerdo, vemos o token secreto 'Ipronto', que permitirá a desperturbação da imagem no momento do treinamento, identificando os recursos perturbados inseridos nas imagens de origem e descontando-os.
Abaixo estão os resultados de uma comparação de teste com as duas abordagens anteriores, usando três conjuntos de dados: CelebA-100; Caltech-101; e Mini-ImageNet.
Os três conjuntos de dados foram treinados como redes de classificação de destino, com um tamanho de lote de 32, em uma NVIDIA RTX 3090 ao longo de uma semana, por 50 épocas.
Os autores afirmam que o RAEG é o primeiro trabalho a oferecer uma rede neural invertível que pode gerar ativamente exemplos adversários.
 
Publicado pela primeira vez em 4 de janeiro de 2022.
 
       
 Tópicos relacionados:
 mm
Escritor sobre aprendizado de máquina, inteligência artificial e big data.
 Site pessoal:  martinanderson.ai
 Contato:  [email protegido]
 Twitter: @manders_ai