Artificiell intelligens
Att göra ett maskinlärningsmodell glömmer dig
Att ta bort en specifik del av data som bidragit till en maskinlärningsmodell är som att försöka ta bort den andra skeden socker från en kopp kaffe. Data har vid det här laget redan blivit intrinsiskt kopplad till många andra neuroner i modellen. Om en datapunkt representerar “definierande” data som var involverad i den tidigaste, högdimensionella delen av träningen, kan borttagning av den radikalt omdefiniera hur modellen fungerar, eller till och med kräva att den måste tränas om vid viss utgift av tid och pengar.
Trots detta kräver Artikel 17 i den allmänna dataskyddsförordningen (GDPR) i Europa att företag tar bort sådan användardata på begäran. Eftersom lagen formulerades med förståelsen att denna radering skulle vara inget mer än en databas-‘drop’-fråga, kommer den lagstiftning som ska utvecklas från utkastet till EU:s Artificiell intelligenslag i princip att kopiera och klistra in GDPR-andan i lagar som gäller tränade AI-system snarare än tabelldata.
Ytterligare lagstiftning övervägs runt om i världen som kommer att ge individer rätt att begära borttagning av deras data från maskinlärningssystem, medan California Consumer Privacy Act (CCPA) från 2018 redan tillhandahåller denna rättighet till delstatens invånare.
Varför det är viktigt
När en dataset tränas till en handlingsbar maskinlärningsmodell, blir egenskaperna hos den data generaliserade och abstrakta, eftersom modellen är utformad för att härleda principer och breda trender från data, och så småningom producerar en algoritm som kommer att vara användbar för att analysera specifik och icke-generaliserad data.
Men tekniker som modellinversion har avslöjat möjligheten att återidentifiera den bidragande data som ligger till grund för den slutliga, abstraherade algoritmen, medan medlemskapsinferensattacker också kan avslöja källdata, inklusive känslig data som endast har fått lov att ingå i en dataset under förståelsen att de är anonyma.
Det ökande intresset för detta behöver inte förlita sig på gräsrots-privataktivism: när maskinlärningssektorn kommersialiseras under de kommande tio åren, och nationer kommer under tryck för att avsluta den nuvarande laissez faire-kulturen över användningen av skärmskrapning för datasetgenerering, kommer det att finnas en växande kommersiell incitament för IP-skyddande organisationer (och IP-troll) att avkoda och granska den data som har bidragit till proprietära och högavkastande klassificerings-, inferens- och generativa AI-ramverk.
Att framkalla glömska i maskinlärningsmodeller
Därför är vi kvar med utmaningen att få ut sockret ur kaffet. Det är ett problem som har plågat forskare under de senaste åren: 2021 fann den EU-stödda rapporten En jämförande studie om dataskyddsriskerna med ansiktsigenkänning att flera populära ansiktsigenkänningsalgoritmer kunde möjliggöra kön- eller rasbaserad diskriminering i återidentifieringsattacker; 2015 föreslog forskning från Columbia University en ‘maskinunlärning’-metod baserad på uppdatering av ett antal summeringar inom data; och 2019 erbjöd Stanford-forskare nya borttagningsalgoritmer för K-means-klusterimplementeringar.
Nu har en forskningskonsortium från Kina och USA publicerat nytt arbete som introducerar en enhetlig måttstock för utvärdering av framgången för data-borttagningsmetoder, tillsammans med en ny ‘glömska’-metod som kallas Forsaken, som forskarna hävdar kan uppnå en glömskegrad på över 90%, med endast en 5% förlust av modellens precision.
Rapporten heter Lär att glömma: maskinunlärning via neuronnmaskning och innehåller forskare från Kina och Berkeley.
Neuronnmaskning, principen bakom Forsaken, använder en maskeringsgradientgenerator som ett filter för borttagning av specifik data från en modell, vilket i princip uppdaterar den snarare än att tvinga den att tränas om från scratch eller från en ögonblicksbild som skedde före inkluderingen av data (i fallet med strömmande-baserade modeller som kontinuerligt uppdateras).
Arkitekturen för maskeringsgradientgeneratorn. Källa: https://arxiv.org/pdf/2003.10933.pdf
Biologiska ursprung
Forskarna hävdar att denna metod inspirerades av den biologiska processen ‘aktiv glömska’, där användaren vidtar stränga åtgärder för att sudda ut alla engramceller för ett visst minne genom manipulation av en speciell typ av dopamin.
Forsaken framkallar kontinuerligt en maskeringsgradient som replikerar denna åtgärd, med skyddsåtgärder för att sakta ner eller stoppa denna process för att undvika katastrofal glömska av icke-mål-data.
Fördelarna med systemet är att det är tillämpligt på många typer av befintliga neuronnät, medan nylig liknande arbete har haft framgång främst i datorseende-nätverk; och att det inte stör modellträningsförfaranden, utan snarare fungerar som ett tillägg, utan att kräva att den grundläggande arkitekturen ändras eller att data tränas om.
Begränsa effekten
Borttagning av bidragen data kan ha en potentiellt skadlig effekt på funktionen hos en maskinlärningsalgoritm. För att undvika detta har forskarna utnyttjat normreglering, en funktion i normal neuronnätsträning som vanligtvis används för att undvika överträning. Den specifika implementeringen som valts är utformad för att säkerställa att Forsaken inte misslyckas med att konvergera under träning.
För att etablera en användbar spridning av data använde forskarna out-of-distribution (OOD)-data (dvs. data som inte ingår i den faktiska dataseten, som simulerar ‘känslig’ data i den faktiska dataseten) för att kalibrera hur algoritmen skulle bete sig.
Testning på dataset
Metoden testades på åtta standarddataset och uppnådde i allmänhet glömskegrader som var nära eller högre än fullständig omträning, med mycket liten påverkan på modellens precision.
Det verkar omöjligt att fullständig omträning på en redigerad dataset faktiskt kan göra sämre än någon annan metod, eftersom mål-data är helt frånvarande. Men modellen har vid det här laget abstraherat olika egenskaper hos den borttagna data på ett ‘holografiskt’ sätt, på samma sätt som (genom analogi) en droppe bläck omdefinierar nyttan av ett glas vatten.
I själva verket har modellens vikter redan påverkats av den borttagna data, och det enda sättet att helt ta bort dess påverkan är att träna om modellen från absolut noll, snarare än den betydligt snabbare metoden att träna om den viktade modellen på en redigerad dataset.
