Connect with us

Чи існує чітке рішення проблем приватності, пов’язаних з генеративним ІІ?

Лідери думок

Чи існує чітке рішення проблем приватності, пов’язаних з генеративним ІІ?

mm
Published
Updated

Ризики приватності, пов’язані з генеративним ІІ, дуже реальні. Від збільшення спостереження та відкритості до більш ефективних фішингових і вішингових кампаній, ніж будь-коли раніше, генеративний ІІ підтримує приватність en masse, безрозбірно, надаючи зловмисникам, незалежно від того, чи це злочинці, спонсовані державою чи урядом, інструменти, необхідні для націлювання на окремих осіб і групи.

Найчіткішим рішенням цієї проблеми є те, що споживачі та користувачі колективно відмовляються від гіпу щодо ІІ, вимагаючи прозорості від тих, хто розробляє або впроваджує так звані функції ІІ, та ефективного регулювання з боку урядових органів, які контролюють їхню діяльність. Хоча це варто прагнути, це неlikely відбудеться в найближчий час.

Що залишається, це розумні, навіть якщо й необхідні, підходи до пом’якшення ризиків приватності генеративного ІІ. Довгострокове, беззаперечне, але нудне передбачення полягає в тому, що чим більше громадськість стає освіченою щодо приватності даних загалом, тим менші ризики приватності, пов’язані з масовим впровадженням генеративного ІІ.

Чи всі ми правильно розуміємо концепцію генеративного ІІ?

Гіп навколо ІІ так універсальний, що опитування того, що люди розуміють під генеративним ІІ, майже не потрібне. Очевидно, жодна з цих “функцій ІІ”, функціональності та продуктів насправді не представляє прикладів справжнього штучного інтелекту, незалежно від того, що це буде означати. Натомість, вони в основному являють собою приклади machine learning (ML), deep learning (DL) та large language models (LLMs).

Генераційний ІІ, як його назва вже говорить, може генерувати новий контент – текст (включаючи мови програмування), аудіо (включаючи музику та голоси, подібні до людських), або відео (із звуком, діалогами, кадрами та зміною камер). Все це досягається шляхом навчання LLM до ідентифікації, зіставлення та відтворення шаблонів у контенті, створеному людьми.

Давайте розглянемо ChatGPT як приклад. Як і багато інших LLM, він тренується у трьох широких етапах:

  • Предварительное навчання: Під час цієї фази LLM “кормлять” текстовими матеріалами з інтернету, книг, академічних журналів та всього іншого, що містить потенційно актуальний або корисний текст.
  • Навчання з інструкціями під наглядом: Моделі тренуються для того, щоб відповідати більш узгоджено інструкціям, використовуючи високоякісні інструкційно-відповідні пари, зазвичай отримані від людей.
  • Навчання з підкріпленням від людської обратної зв’язки (RLHF): LLM, такі як ChatGPT, часто проходять цей додатковий етап навчання, під час якого взаємодії з людськими користувачами використовуються для уточнення моделі згідно з типовими випадками використання.

Всі три етапи процесу навчання включають дані, чи то величезні сховища попередньо зібраних даних (як ті, що використовуються на етапі попереднього навчання), чи дані, зібрані та оброблені майже в режимі реального часу (як ті, що використовуються на етапі RLHF). Саме ці дані несуть основну частку ризиків приватності, пов’язаних з генеративним ІІ.

Які ризики приватності пов’язані з генеративним ІІ?

Приватність порушується, коли особиста інформація щодо окремої особи (суб’єкта даних) стає доступною іншим особам або організаціям без згоди суб’єкта даних. LLM тренуються та уточнюються на надзвичайно широкому спектрі даних, які можуть і часто містять особисту інформацію. Ці дані зазвичай збираються з публічно доступних джерел, але не завжди.

Дажи коли ці дані беруться з публічно доступних джерел, їх агрегація та обробка LLM, а потім фактично пошукові можливості через інтерфейс LLM можуть бути розглянуті як подальше порушення приватності.

Етап навчання з підкріпленням від людської обратної зв’язки (RLHF) ускладнює ситуацію. На цьому етапі навчання реальні взаємодії з людськими користувачами використовуються для ітеративного виправлення та уточнення відповідей LLM. Це означає, що взаємодія користувача з LLM може бути переглянута, поділена та поширена будь-ким, хто має доступ до тренувальних даних.

У більшості випадків це не є порушенням приватності, оскільки більшість розробників LLM включає політики приватності та умови використання, які вимагають від користувачів згоди перед взаємодією з LLM. Ризик приватності тут полягає радше у тому, що багато користувачів не усвідомлюють, що вони погодилися на такий збір та використання даних. Такі користувачі, ймовірно, розкриють приватну та чутливу інформацію під час взаємодії з цими системами, не розуміючи, що ці взаємодії не є конфіденційними чи приватними.

Таким чином, ми прийшли до трьох основних способів, якими генеративний ІІ створює ризики приватності:

  • Великі сховища попередніх тренувальних даних, які потенційно містять особисту інформацію, вразливі до компрометації та витоку.
  • Особиста інформація, включена у попередні тренувальні дані, може бути виттєва іншим користувачам того ж LLM через його відповіді на запити та інструкції.
  • Особиста та конфіденційна інформація, надана під час взаємодії з LLM, опиняється у працівників LLM та, можливо, у третіх контракторів, звідки її можна переглянути чи виттєвати.

Це всі ризики для приватності користувачів, але ймовірність того, що особисто ідентифікована інформація (PII) опиниться в неправильних руках, все ж таки здається досить низькою. Хоча, принаймні, поки дані-брокери не вступають у гру. Ці компанії спеціалізуються на пошуку PII та збиранні, агрегації та поширенні, якщо не відкритому.broadcast.

З PII та іншими особистими даними, які стали певного роду товаром, та індустрією даних-брокерів, яка виникає для отримання прибутку від цього, будь-яка особиста інформація, яка потрапляє “туди”, дуже ймовірно, буде зібрана дані-брокерами та поширена далеко та широко.

Ризики приватності генеративного ІІ у контексті

Перед тим, як розглянути ризики генеративного ІІ для приватності користувачів у контексті конкретних продуктів, послуг та корпоративних партнерств, давайте крок назад та розглянемо повний спектр ризиків генеративного ІІ. Написавши для IAPP, Moraes і Previtali підходили до визначення ризиків приватності ІІ через дані, зменшуючи 16 ризиків приватності, описаних у Solove’s 2006 “A Taxonomy of Privacy”, до 12 ризиків ІІ.

Це 12 ризиків приватності, включених у переглянуту taksonomію:

  • Нагляд: ІІ посилює ризики нагляду шляхом збільшення масштабу та універсальності збору особистих даних.
  • Ідентифікація: Технології ІІ дозволяють автоматичне зв’язування ідентичності через різні джерела даних, збільшуючи ризики щодо розкриття особистої ідентичності.
  • Агрегація: ІІ поєднує різні частини даних про людину для висновків, створюючи ризики вторгнення у приватність.
  • Френологія та фізіогноміка: ІІ робить висновки про особистість чи соціальні атрибути з фізичних характеристик, нова категорія ризиків, якої немає у taksonomії Solove.
  • Другорядне використання: ІІ посилює використання особистих даних для цілей, інших ніж ті, для яких вони були спочатку призначені, шляхом перепрофілактики даних.
  • Виключення: ІІ робить відсутність інформування чи надання контролю користувачам над тим, як обробляються їхні дані, гіршим через не透бачні практики обробки даних.
  • Небезпека: ІІ створює ризики витоку даних та неправильного доступу через вимоги до даних та практику зберігання.
  • Видання: ІІ може розкривати чутливу інформацію, наприклад, через техніки генеративного ІІ.
  • Відхилення: ІІ підвищує поширення фальшивої чи оманливої інформації.
  • Розкриття: ІІ може спричиняти неправильне поширення даних, коли він робить висновки про додаткову чутливу інформацію з сирої інформації.
  • Збільшення доступності: ІІ робить чутливу інформацію більш доступною для ширшої аудиторії, ніж передбачалося.
  • Вторгнення: Технології ІІ вторгаються у особистий простір чи самоту, часто через заходи нагляду.

Це досить тривожне читання. Важливо відзначити, що ця taksonomія, до її заслуг, враховує схильність генеративного ІІ до галюцинацій – генерації та впевненого подання фактично неточної інформації. Це явище, хоча воно рідко розкриває реальну інформацію, також є ризиком приватності. Поширення фальшивої та оманливої інформації впливає на приватність суб’єкта способами, які є більш тонкими, ніж у випадку точної інформації, але все ж таки впливає на неї.

Давайте розглянемо деякі конкретні приклади того, як ці ризики приватності проявляються у контексті реальних продуктів ІІ.

Прямі взаємодії з текстовими генеративними системами ІІ

Найпростіший випадок – це той, який включає взаємодію користувача безпосередньо з генеративною системою ІІ, наприклад ChatGPT, Midjourney чи Gemini. Взаємодії користувача з багатьма цими продуктами реєструються, зберігаються та використовуються для RLHF (навчання з підкріпленням від людської обратної зв’язки), нагляду за інструкціями та навіть попереднього тренування інших LLM.

Аналіз політики приватності багатьох таких послуг також розкриває інші діяльність з обміну даними, підтримувані зовсім іншими цілями, наприклад, маркетингом та брокерством даних. Це ще один тип ризику приватності, пов’язаний з генеративним ІІ: ці системи можна характеризувати як величезні труби даних, збираючи дані, надані користувачами, а також ті, які генеруються під час їхньої взаємодії з основним LLM.

Взаємодії з вбудованими генеративними системами ІІ

Деякі користувачі можуть взаємодіяти з генеративними інтерфейсами ІІ, вбудованими в той продукт, який вони, як вони думають, використовують. Користувач може знати, що він використовує “функцію ІІ”, але він менш ймовірно знає, що це означає щодо ризиків приватності даних. Що виходить на перший план з вбудованими системами, це відсутність розуміння того факту, що особисті дані, поділілися з LLM, можуть опинитися в руках розробників та даних-брокерів.

Є два ступені відсутності усвідомлення тут: деякі користувачі розуміють, що вони взаємодіють з продуктом генеративного ІІ; і деякі вважають, що вони використовують той продукт, до якого генеративний ІІ вбудований чи доступний. У будь-якому випадку користувач, ймовірно, мав (і, ймовірно, мав) технічно погодився з умовами та умовами, пов’язаними з його взаємодією з вбудованою системою.

Інші партнерства, які піддають користувачів системам генеративного ІІ

Деякі компанії вбудовують або інакше включають інтерфейси генеративного ІІ у свій програмний продукт способами, які менш очевидні, залишаючи користувачів взаємодіяти – і діляти інформацію – з третіми сторонами, не усвідомлюючи цього. На щастя, “ІІ” стало таким ефективним продажним аргументом, що малоймовірно, що компанія буде тримати такі реалізації в секреті.

Іншим явищем у цьому контексті є зростаючий негативний відгук щодо таких компаній після спроби поділитися даними користувачів з компаніями генеративного ІІ, такими як OpenAI. Компанія з видалення даних Optery, наприклад, недавно скасувала рішення про поділ даних користувачів з OpenAI на основі опції “відмовитися”, тобто користувачі були зараховані до програми за замовчуванням.

Не тільки клієнти швидко виразили своє розчарування, але сервіс видалення даних компанії був негайно виключений з списку рекомендованих сервісів видалення даних Privacy Guides. Компанія Optery швидко та прозоро скасувала своє рішення, але саме негативний відгук є суттєвим: люди починають розуміти ризики поділитися даними з “ІІ”-компаніями.

Приклад Optery є хорошим тут, оскільки його користувачі, у певному сенсі, знаходяться на авангарді зростаючої скептичності щодо так званих реалізації ІІ. Тип людей, які обирають сервіс видалення даних, також, зазвичай, ті, хто буде звертати увагу на зміни умов використання та політики приватності.

Докази зростаючого негативного відгуку проти використання даних генеративного ІІ

Користувачі, які піклуються про приватність, не були єдиними, хто висловив занепокоєння щодо систем генеративного ІІ та пов’язаних з ними ризиків приватності даних. На законодавчому рівні Акт про штучний інтелект ЄС класифікує ризики згідно з їхньою тяжкістю, з приватністю даних як явно або неявно зазначеною критерієм для визначення тяжкості в більшості випадків. Акт також розглядає питання про інформовану згоду, які ми обговорювали раніше.

США, які відомі своєю повільністю у прийнятті комплексної федеральної законодавчої бази щодо захисту даних, мають хоча б деякі гарантії завдяки Executive Order 14110. Знову ж таки, питання приватності даних стоять на першому місці серед цілей, зазначених у наказі: “ірantwortальне використання [технологій ІІ] може посилити суспільні шкоди, такі як шахрайство, дискримінація, упередженість та дезінформація” – всі пов’язані з доступністю та поширенням особистих даних.

Повертаючись до рівня споживачів, це не тільки особливо приватні споживачі, які обурюються приватністю, інвазивними реалізації генеративного ІІ. “AI-підтримувана” функція Recall від Microsoft, призначена для операційної системи Windows 11, є примірним прикладом. Як тільки було розкрито масштаб приватних та безпекових ризиків, негативний відгук був достатнім, щоб змусити технологічного гіганта зробити крок назад. На жаль, Microsoft, здається, не відмовився від ідеї, але перша публічна реакція все ж таки серцева.

Залишаючись з Microsoft, його програма Copilot була широко розкритикована за обидва питання приватності даних та безпеки даних. Оскільки Copilot був тренований на даних GitHub (в основному джерельному коді), також виникли суперечки щодо порушення Microsoft ліцензійних угод програмістів та розробників. Це випадки, у яких межі між приватністю даних та інтелектуальною власністю починають розмитися, наділяючи останню грошовою вартістю – щось, що не легко зробити.

Можливо, найкращим свідченням того, що ІІ стає червоним прапором у очах споживачів, є л Lukewarm, якщо не відкрито негативна публічна реакція Apple на його початковий запуск ІІ, особливо щодо угод про поділ даних з OpenAI.

П’єзові рішення

Є кроки, які законодавці, розробники та компанії можуть зробити, щоб пом’якшити деякі ризики, пов’язані з генеративним ІІ. Це спеціалізовані рішення конкретних аспектів загальної проблеми, жодне з цих рішень не достатньо, але всі вони, працюючи разом, могли б зробити справжню різницю.

  • Мінімізація даних. Мінімізація кількості зібраних та збережених даних є розумною метою, але вона прямо протилежить бажанню розробників генеративного ІІ щодо тренувальних даних.
  • Прозорість. Ураховуючи поточний стан мистецтва в ML, це може не бути навіть технічно можливим у багатьох випадках. Огляд того, які дані обробляються та як при генерації певного виходу, є одним способом забезпечення приватності у взаємодіях з генеративним ІІ.
  • Анонімізація. Будь-яка PII, яку не можна виключити з тренувальних даних (через мінімізацію даних), повинна бути анонімізована. Проблема полягає в тому, що багато популярних технік анонімізації та псевдонімізації легко переможені.
  • Згода користувача. Вимагання згоди користувачів на збір та поділ їхніх даних є суттєвим, але надто відкритим для зловживань та надто схильним до споживчої самозадоволеності, щоб бути ефективним. Це інформована згода, яка потрібна тут, і більшість споживачів, належним чином інформовані, не погодилися б на такий обмін даними, тому стимули неузгоджені.
  • Захист даних під час передачі та у спочинку. Інший фундамент як приватності даних, так і безпеки даних, захист даних шляхом криптографічних та інших засобів завжди може бути зроблений більш ефективним. Однак системи генеративного ІІ мають тенденцію витікати дані через свої інтерфейси, що робить це лише частиною рішення.
  • Виконання законодавства про авторське право та інтелектуальну власність у контексті так званого ІІ. ML може працювати у “чорній скриньці”, роблячи важким, якщо не неможливим, відстежувати, яку авторську та інтелектуальну власність опиняється у виході генеративного ІІ.
  • Аудити. Інший важливий захід-охоронець, який зазнає поразки через “чорну скриньку” природи LLM та генеративних систем ІІ, які вони підтримують. Ускладнення цієї вродженої обмеження є закрита природа більшості продуктів генеративного ІІ, яка обмежує аудити лише тим, які проводяться за бажанням розробника.

Всі ці підходи до проблеми є дійсними та необхідними, але жоден з них не достатній. Вони всі вимагають законодавчої підтримки, щоб мати суттєвий ефект, що означає, що вони обречені бути позаду часу, оскільки ця динамічна галузь продовжує еволюціонувати.

Чітке рішення

Рішення ризиків приватності, пов’язаних з генеративним ІІ, не революційне та не цікаве, але якщо його довести до логічного висновку, його результати можуть бути обидва. Чітке рішення полягає у тому, що звичайні споживачі стають усвідомленими про вартість своїх даних для компаній та безцінність приватності даних для себе.

Споживачі є джерелами та двигунами за приватною інформацією, яка живить так звану сучасну економіку спостереження. Як тільки критична маса споживачів починає стримувати потік приватних даних у публічну сферу та починає вимагати відповідальності від компаній, які торгують особистими даними, система повинна самокорегуватися.

Заохочувальним у генеративному ІІ є те, що, на відміну від поточних моделей реклами та маркетингу, воно не повинно включати особисту інформацію на жодному етапі. Дані попереднього тренування та уточнення не повинні включати PII чи інші особисті дані, а користувачі не повинні розкривати таку інформацію під час взаємодії з системами генеративного ІІ.

Щоб видалити свою особисту інформацію з тренувальних даних, люди можуть піти прямо до джерела та видалити свої профілі з тих даних-брокерів (включаючи сайти пошуку людей), які агрегують публічні записи, що вводять їх у циркуляцію на відкритому ринку. Сервіси видалення особистих даних автоматизують процес, роблячи його швидким та легким. Очевидно, видалення особистих даних з цих компаній має багато інших переваг та жодних недоліків.

Люди також генерують особисті дані під час взаємодії з програмним забезпеченням, включаючи генеративне ІІ. Щоб стримати потік цих даних, користувачам потрібно бути більш уважними до того, що їхні взаємодії реєструються, переглядаються, аналізуються та діляться. Їхні варіанти для уникнення цього зводяться до обмеження того, що вони розкривають онлайн-системам, та використання локальних, відкритих LLM, де це можливо. Люди, в цілому, вже роблять хорошу роботу з модулювання того, про що вони говорять у громадських місцях – нам просто потрібно розширити ці інстинкти у сфері генеративного ІІ.

mm

Девід Балабан - дослідник комп'ютерної безпеки з понад 17-річним досвідом у сфері аналізу шкідливого програмного забезпечення та оцінки антивірусного програмного забезпечення. Девід керує проектами MacSecurity.net та Privacy-PC.com, які представляють експертні висновки щодо сучасних питань інформаційної безпеки, включаючи соціальну інженерію, шкідливе програмне забезпечення, тестування на проникнення, розвідку загроз, онлайн-конфіденційність та хакінг у білих шапках. Девід має сильний досвід у ліквідації шкідливого програмного забезпечення, з недавнім акцентом на заходи проти вимагання викупу.