محققان این ایده رایج را که مدلهای یادگیری عمیق "جعبه های سیاه" هستند که هیچ چیز را در مورد آنچه در داخل می گذرد فاش نمی کنند ، زیر سوال می برند.
وب سایتی را بارگذاری کنید که این شخص وجود ندارد و چهره ای انسانی به شما نشان می دهد که در واقع گرایی آن کاملاً کامل و در عین حال کاملا ساختگی است. Refresh و شبکه عصبی پشت سایت ، دیگری ، و دیگری و دیگری را ایجاد می کند. دنباله بی پایان چهره های ساخته شده توسط هوش مصنوعی توسط یک شبکه خصمانه تولید کننده (GAN) تولید می شود-نوعی از هوش مصنوعی که یاد می گیرد نمونه های واقعی اما جعلی از داده هایی را که بر روی آن آموزش دیده است ، تولید کند.
اما چنین چهره های ایجاد شده – که در حال استفاده در فیلم ها و تبلیغات CGI هستند – ممکن است آنطور که به نظر می رسد منحصر به فرد نباشد. در مقاله ای با عنوان این شخص (احتمالاً) وجود دارد ، محققان نشان می دهند که بسیاری از چهره های تولید شده توسط GAN شباهت قابل توجهی با افراد واقعی که در داده های آموزش ظاهر می شوند ، دارند. چهره های جعلی می توانند به طور مثر چهره های واقعی را که GAN بر روی آنها آموزش دیده است ، آشکار سازند و امکان افشای هویت آن افراد را فراهم کنند. این اثر جدیدترین مجموعه از مطالعاتی است که این ایده رایج را که شبکه های عصبی "جعبه های سیاه" هستند و هیچ چیز را در مورد آنچه در داخل اتفاق می افتد فاش نمی کند.
شخصیت های مجهز به هوش مصنوعی بر اساس افراد واقعی می توانند در هزاران ویدئو ستاره داشته باشند و هر چیزی را به هر زبانی بگویند.
رایان وبستر و همکارانش در دانشگاه کان نرماندی فرانسه برای افشای داده های آموزشی پنهان ، از نوعی حمله به نام حمله عضویت استفاده کردند که می تواند برای آگاهی از اینکه آیا داده های خاصی برای آموزش مدل شبکه عصبی استفاده شده است یا خیر ، مورد استفاده قرار گیرد. این حملات به طور معمول از تفاوت های ظریف بین نحوه برخورد یک مدل با داده هایی که در آن آموزش دیده است – و بنابراین هزاران بار قبلاً دیده شده است – و داده های دیده نشده استفاده می کنند.
به عنوان مثال ، یک مدل ممکن است تصویری را که قبلاً دیده نشده است به طور دقیق شناسایی کند ، اما با کمی اطمینان کمتر از تصویری که بر روی آن آموزش دیده بود. دومین مدل تهاجمی می تواند یاد بگیرد که چنین رفتارهایی را در رفتار مدل اول تشخیص دهد و از آنها برای پیش بینی زمانی که داده های خاصی مانند عکس در مجموعه آموزشی است یا نه استفاده کند.
چنین حملاتی می تواند منجر به نشت امنیتی جدی شود. به عنوان مثال ، پی بردن به اینکه اطلاعات پزشکی فردی برای آموزش مدل مرتبط با بیماری استفاده شده است ، ممکن است نشان دهد که این فرد به آن بیماری مبتلا است.
تیم وبستر این ایده را به گونه ای گسترش داد که به جای شناسایی عکسهای دقیق مورد استفاده برای آموزش GAN ، آنها عکسهایی را در مجموعه آموزشی GAN شناسایی کردند که یکسان نبودند اما به نظر می رسید همان فرد را نشان می دهند – به عبارت دیگر ، چهره هایی با هویت یکسان. برای انجام این کار ، محققان ابتدا چهره هایی با GAN ایجاد کردند و سپس از AI تشخیص چهره جداگانه برای تشخیص اینکه آیا هویت این چهره های ایجاد شده با هویت هر یک از چهره های مشاهده شده در داده های آموزشی مطابقت دارد یا خیر ، استفاده کردند.
نتایج قابل توجه است. در بسیاری از موارد ، تیم چندین عکس از افراد واقعی را در داده های آموزشی پیدا کرد که به نظر می رسید با چهره های جعلی ایجاد شده توسط GAN مطابقت دارد و هویت افرادی را که هوش مصنوعی در آنها آموزش دیده بود نشان می دهد.
این کار نگرانی های جدی در مورد حریم خصوصی ایجاد می کند. جان کاوتز ، معاون تحقیقات یادگیری و ادراک در انویدیا می گوید: "جامعه هوش مصنوعی هنگام به اشتراک گذاشتن مدل های شبکه عصبی عمیق احساس امنیت گمراه کننده دارد."
از نظر تئوری این نوع حمله می تواند در مورد دیگر داده های مرتبط با یک فرد مانند داده های بیومتریک یا پزشکی اعمال شود. از سوی دیگر ، وبستر اشاره می کند که افراد می توانند از این تکنیک برای بررسی اینکه آیا داده های آنها برای آموزش هوش مصنوعی بدون رضایت آنها استفاده شده است یا خیر ، استفاده کنند.
او می گوید هنرمندان می توانند بفهمند که آیا از کار آنها برای آموزش GAN در ابزار تجاری استفاده شده است یا خیر ، می گوید: "شما می توانید از روشی مانند روش ما برای اثبات نقض حق چاپ استفاده کنید."
این فرایند همچنین می تواند مورد استفاده قرار گیرد تا مطمئن شوید GAN ها در وهله اول داده های خصوصی را افشا نمی کنند. GAN می تواند قبل از انتشار آنها ، با استفاده از همان تکنیک توسعه یافته توسط محققان ، بررسی کند که آیا خلاقیت آن در داده های آموزشی خود به نمونه های واقعی شبیه است یا خیر.
با این حال ، این فرض را بر این می گذارد که می توانید از داده های آموزشی استفاده کنید ، کائوتز می گوید. او و همکارانش در انویدیا روش دیگری را برای افشای اطلاعات خصوصی ارائه کرده اند ، از جمله تصاویر چهره ها و اشیاء دیگر ، داده های پزشکی و موارد دیگر ، که به هیچ وجه نیازی به دسترسی به داده های آموزشی ندارد.
در عوض ، آنها یک الگوریتم ایجاد کردند که می تواند داده هایی را که یک مدل آموزش دیده در معرض آن قرار دارد ، با معکوس کردن مراحلی که مدل هنگام پردازش آن داده است ، دوباره ایجاد کند. از یک شبکه آموزش دیده برای تشخیص تصویر استفاده کنید: برای شناسایی آنچه در یک تصویر است ، شبکه آن را از طریق یک سری لایه های نورون های مصنوعی عبور می دهد. هر لایه سطوح مختلف اطلاعات را از لبه ها گرفته تا اشکال و ویژگی های قابل تشخیص بیشتر استخراج می کند.
تیم کائوتز دریافتند که می توانند یک مدل را در وسط این مراحل قطع کرده و جهت آن را معکوس کرده و تصویر ورودی را از داده های داخلی مدل دوباره ایجاد کنند. آنها این تکنیک را بر روی انواع مدل های رایج تشخیص تصویر و GAN ها آزمایش کردند. در یک آزمایش ، آنها نشان دادند که می توانند تصاویر را با دقت دوباره از ImageNet ، یکی از شناخته شده ترین مجموعه داده های تشخیص تصویر ایجاد کنند.
همانطور که در کارهای وبستر ، تصاویر ایجاد شده دوباره بسیار شبیه تصاویر واقعی است. کائوتز می گوید: "ما از کیفیت نهایی شگفت زده شدیم."
محققان معتقدند که این نوع حمله صرفاً فرضی نیست. تلفن های هوشمند و دیگر دستگاه های کوچک شروع به استفاده بیشتر از هوش مصنوعی کرده اند. به دلیل محدودیت در باتری و حافظه ، مدلها گاهی اوقات تنها در دستگاه خود نیمه پردازش می شوند و برای آخرین محاسبه محاسبه به ابر ارسال می شوند ، روشی که به محاسبه تقسیم معروف است. کائوتز می گوید ، اکثر محققان تصور می کنند که محاسبات تقسیم شده هیچ گونه اطلاعات خصوصی از تلفن شخص را نشان نمی دهد زیرا فقط مدل آن به اشتراک گذاشته شده است. اما حمله او نشان می دهد که اینطور نیست.
کائوتز و همکارانش در حال تلاش برای یافتن راه هایی برای جلوگیری از نشت داده های خصوصی مدل ها هستند. او می گوید ما می خواستیم خطرات را درک کنیم تا بتوانیم آسیب پذیری ها را به حداقل برسانیم.
با وجود اینکه آنها از تکنیک های بسیار متفاوتی استفاده می کنند ، او فکر می کند که کار او و وبستر مکمل یکدیگر هستند. تیم وبستر نشان داد که داده های خصوصی را می توان در خروجی یک مدل یافت. تیم کائوتز نشان داد که داده های خصوصی را می توان با حرکت معکوس و ایجاد مجدد ورودی فاش کرد. کاوتز می گوید: "بررسی هر دو جهت برای درک بهتر نحوه جلوگیری از حملات مهم است."
مأموریت ما این است که از طریق روزنامه نگاری معتبر ، تأثیرگذار و قابل اعتماد تصمیمات آگاهانه و آگاهانه تری در مورد فناوری بگیریم.
اشتراک در برای حمایت از روزنامه نگاری ما
© 2021 بررسی فناوری MIT

source

توسط techkhabari