MLaaS：使用变分自编码器防止 API 驱动的模型盗窃

机器学习即服务（MLaaS）通过 API 将昂贵的研究和模型训练成果商品化，为客户提供系统洞察。虽然系统的推理在一定程度上通过这些交易被揭示，但核心模型架构、定义模型实用性的权重以及使模型有用的特定训练数据都被严密保护，原因有几点。

首先，框架可能会利用许多免费或开源（FOSS）代码仓库，潜在的竞争对手也可以轻松地做同样的事情以实现相同的目标；其次，在许多情况下，模型使用的权重代表了 95% 或更多的模型解释训练数据的能力，构成了昂贵投资的核心价值，包括研究时间和行业级别的 GPU 上的大规模模型训练。

此外，模型训练数据集后面的专有和公共数据的混合是一个可能引起争议的问题：如果数据是通过昂贵的方法获得的“原创”作品，API 用户可能会通过 API 请求推断出数据结构或内容，从而基本上重现作品的价值，要么是通过了解数据的模式（允许实际复制），要么是通过复制数据特征的权重，这可能允许复制一个“空”的但有效的架构，以便在其中处理后续材料。

数据洗钱

此外，机器学习模型在训练过程中将数据抽象到潜在空间，有效地“洗钱”数据，转化为通用函数，使得版权持有者难以理解他们的原创作品是否在未经许可的情况下被纳入模型。

当前的放任自流气候可能会在未来 5-10 年内受到越来越多的监管。欧盟的 草案法规 已经包含了关于数据来源的规定和一个透明度框架，这将使得数据收集公司难以规避与网络爬虫相关的法规。其他政府，包括美国，也正在 承诺 在长期内实施类似的监管框架。

随着机器学习领域从概念验证文化演变为可行的商业生态，违反数据限制的 ML 模型可能会面临法律风险，即使是在其产品的早期版本中。

因此，通过 API 调用推断数据源的风险不仅与工业间谍活动有关，还与可能针对公司的新兴法医方法有关，这些方法可能会在机器学习研究的“狂野西部”时代结束后产生影响。

API 驱动的数据外泄作为开发对抗性攻击的手段

一些机器学习框架不断更新其训练数据和算法，而不是从大量历史数据中推导出一个明确的长期模型（如 GPT-3）。这些包括与交通信息和其他依赖实时数据的领域相关的系统，在这些领域中，ML 驱动服务的持续价值至关重要。

如果可以通过系统地通过 API 轮询来“映射”模型的逻辑或数据加权，则这些因素可能会被转化为对系统的对抗性攻击，恶意数据可以被放置在系统可能会拾取的区域，或者通过其他方法渗透到数据采集例行程序中。

因此，防止 API 驱动的映射对机器学习模型的安全性也有影响。

防止 API 驱动的数据外泄

近年来，已经出现了几项研究计划，旨在提供可以防止通过 API 调用推断模型架构和特定源数据的方法。最新的研究成果在印度理工学院班加罗尔分校和位于马萨诸塞州剑桥的 AI 基础软件平台 Nference 之间的合作研究中被 概述。

这项名为 带状态的模型提取攻击检测 的研究提出了一个名为 VarDetect 的系统，初步代码已在 GitHub 上提供。

VarDetect 在服务器端运行，持续监控发送到 API 的用户查询，寻找三种不同的重复模型提取模式攻击。研究人员报告称，VarDetect 是第一个能够抵御所有三种攻击的防御机制。另外，它还可以对抗已知防御机制的攻击者的反措施，这些攻击者试图通过暂停或增加查询量来隐藏攻击模式以欺骗防御机制。

VarDetect 架构。 来源：https://arxiv.org/pdf/2107.05166.pdf

VarDetect 使用 变分自编码器（VAE） 有效地为传入请求创建了一种启发式评估探针。与之前的方法不同，该系统是在专有数据上训练的，消除了对攻击者数据的需求，这是之前方法的一个弱点，也是一个不太可能发生的情景。

为该项目设计的自定义模型源自三个公开的数据集或方法：2016 年由瑞士联邦理工学院和康奈尔科技学院开发的 工作；通过向“问题域”数据添加噪音，如 2017 年芬兰的 PRADA 论文 中首次展示的那样；以及通过爬取公共图像，如 2020 年印度理工学院的 ActiveThief 研究 中所示。

VarDetect 使用的五个数据集中的良性和“恶性”数据样本比较。

如果频率分布与内部数据集的特征相匹配，则会被标记为提取信号。

研究人员承认，来自普通用户的正常请求模式可能会在系统中触发假阳性，阻止正常使用。因此，这些被认为是“安全”的信号可能会稍后被添加到 VarDetect 数据集中，并通过滚动训练计划被纳入算法中，具体取决于主机系统的偏好。