IA e shpjegueshme mund të dorëzojë të dhëna konfidenciale më lehtë

Studiuesit nga Universiteti Kombëtar i Singaporit kanë arritur në përfundimin se sa më e shpjegueshme të bëhet AI, aq më e lehtë do të jetë të anashkalohen veçoritë jetësore të privatësisë në sistemet e mësimit të makinerive. Ata zbuluan gjithashtu se edhe kur një model nuk është i shpjegueshëm, është e mundur të përdoren shpjegime të modeleve të ngjashme për të 'deshifruar' të dhënat e ndjeshme në modelin e pashpjegueshëm.

La hulumtim, me titull Shfrytëzimi i shpjegimeve për sulmet e përmbysjes së modelit, thekson rreziqet e përdorimit të paqartësisë 'aksidentale' të mënyrës se si funksionojnë rrjetet nervore sikur kjo të ishte një veçori sigurie e dizajnit - jo më pak për shkak se një valë iniciativash të reja globale, duke përfshirë atë të Bashkimit Evropian draft rregulloret e UA, janë duke karakterizuar AI i shpjegueshëm (XAI) si një parakusht për normalizimin eventual të mësimit të makinerive në shoqëri.

Studiuesit komentojnë:

'Inteligjenca artificiale e shpjegueshme (XAI) ofron më shumë informacion për të ndihmuar përdoruesit të kuptojnë vendimet e modelit, megjithatë kjo njohuri shtesë ekspozon rreziqe shtesë për sulmet e privatësisë. Prandaj, dhënia e shpjegimeve dëmton privatësinë.'

Ri-identifikimi i të dhënave private

Pjesëmarrësit në grupet e të dhënave të mësimit të makinerive mund të kenë pranuar të përfshihen me supozimin e anonimitetit; në rastin e Informacionit Personal të Identifikueshëm (PII) që përfundon në sistemet e AI nëpërmjet mbledhjes ad hoc të të dhënave (për shembull, përmes rrjeteve sociale), pjesëmarrja mund të jetë teknikisht e ligjshme, por tendos nocionin e 'pëlqimit'.

Vitet e fundit janë shfaqur disa metoda që kanë rezultuar të afta për të ç anonimizuar PII nga rrjedhat e të dhënave të të dhënave të dukshme të errëta të mësimit të makinerive. Nxjerrja e modelit përdor aksesin API (d.m.th. akses në 'kutinë e zezë', pa disponueshmëri të veçantë të kodit burimor ose të dhënave) për të nxjerrë PII edhe nga ofruesit MLaaS në shkallë të lartë, duke përfshirë Shërbimet e Uebit të Amazon, ndërsa Sulmet e Konkluzionit të Anëtarësisë (MPB-të), duke vepruar nën kufizime të ngjashme, mundet potencialisht marr informacion konfidencial mjekësor; gjithashtu Attribution Inference Attacks (AIAs) mund rikuperoni të dhënat e ndjeshme nga dalja API.

Fytyra që zbulojnë

Për punimin e ri, studiuesit janë përqendruar në një model sulmi përmbysës të krijuar për të marrë një identitet nga një nëngrup i të dhënave të emocioneve të fytyrës që nuk duhet të jenë në gjendje të zbulojnë këtë informacion.

Objektivi i sistemit ishte të shoqëronte imazhet e gjetura në natyrë (ose të postuara rastësisht në internet ose në një shkelje të mundshme të të dhënave) me përfshirjen e tyre në grupet e të dhënave që mbështesin një algoritëm të mësimit të makinerive.

Studiuesit trajnuan një model sulmi përmbysës të aftë për të rindërtuar imazhin kontribues nga dalja e anonimizuar e API-së, pa akses të veçantë në arkitekturën origjinale. Puna e mëparshme në këtë fushë është përqendruar në sistemet ku identifikimi (mbrojtja ose zbulimi) ishte objektivi i sistemit të synuar dhe atij sulmues; në këtë rast, korniza është krijuar për të shfrytëzuar daljen e një domeni dhe për ta aplikuar atë në një domen tjetër.

A transpozuar rrjeti nervor konvolucionist (CNN) u përdor për të parashikuar një fytyrë burimore 'origjinale' bazuar në vektorin e parashikimit të synuar (hartën e spikatur) për një sistem njohjeje emocionesh, duke përdorur një Arkitektura U-Net për të përmirësuar performancën e rindërtimit të fytyrës.

Testim

Në testimin e sistemit, studiuesit e aplikuan atë kundër tre grupeve të të dhënave:  iCV-MEFED shprehjet e fytyrës; CelebADhe Shifra të shkruara me dorë të MNIST. Për të përshtatur madhësinë e modelit që përdoret nga studiuesit, të tre grupet e të dhënave u ndryshuan përkatësisht në 128×128, 265×256 dhe 32×32 piksele. 50% e secilit grup u përdor si të dhëna trajnimi dhe gjysma tjetër u përdor si një grup të dhënash sulmi për të trajnuar modelet antagoniste.

Çdo grup grupi kishte modele të ndryshme të synimeve dhe çdo rrjet sulmi u përshkallëzua në kufizimet e shpjegimeve që mbështesin procesin, në vend që të përdorte modele nervore më të thella, kompleksiteti i të cilave do të tejkalonte përgjithësimin e shpjegimeve.

Llojet e shpjegimit XAI të përdorura për të fuqizuar përpjekjet e përfshira Shpjegimi i gradientit, Hyrja e gradientit, Grad-CAM dhe Përhapja e Relevancës sipas Shtresave (LRP). Studiuesit vlerësuan gjithashtu shpjegime të shumta përgjatë eksperimenteve.

Metrikat për testin u vlerësuan nga ngjashmëria në aspektin pixel Gabim mesatar në katror (MSE); Ngjashmëria e imazhit (SSIM), një indeks ngjashmërie i bazuar në perceptim; saktësia e sulmit, e përcaktuar nga fakti nëse një klasifikues mund të rietiketojë me sukses një imazh të rindërtuar; dhe ngjashmëria e ngulitjes së sulmit, e cila krahason futjet e veçorive të të dhënave të burimit të njohur me të dhënat e rindërtuara.

Riidentifikimi u arrit, me nivele të ndryshme sipas detyrës dhe grupeve të të dhënave, në të gjitha grupet. Më tej, studiuesit zbuluan se duke sajuar një model objektiv zëvendësues (të cilin ata natyrisht kishin kontroll të plotë), ishte ende e mundur të arrihej riidentifikimi i të dhënave nga modelet e jashtme, 'të mbyllura', bazuar në parimet e njohura XAI.

Studiuesit zbuluan se rezultatet më të sakta u morën nga shpjegimet e bazuara në aktivizim (harta e spikatur), të cilat zbuluan më shumë PII sesa qasjet e bazuara në ndjeshmëri (gradient).

Në punën e ardhshme, ekipi synon të përfshijë lloje të ndryshme shpjegimesh të XAI në sulme të reja, si p.sh. vizualizimet e veçorive vektorët e aktivizimit të konceptit.