Un nuovo quadro teorico di intelligenza artificiale per analizzare e limitare la divulgazione di informazioni dai modelli di apprendimento automatico
Un nuovo quadro teorico di intelligenza artificiale per limitare la divulgazione di informazioni dai modelli di apprendimento automatico
Gli algoritmi di Machine Learning (ML) hanno sollevato preoccupazioni riguardanti la privacy e la sicurezza a causa della loro applicazione in problemi complessi e sensibili. La ricerca ha dimostrato che i modelli di ML possono rivelare informazioni sensibili attraverso attacchi, portando alla proposta di una nuova formalizzazione per generalizzare e collegare questi attacchi alla memorizzazione e generalizzazione. La ricerca precedente si è concentrata su strategie dipendenti dai dati per eseguire attacchi anziché creare un quadro generale per comprendere questi problemi. In questo contesto, è stato recentemente pubblicato uno studio per proporre una nuova formalizzazione per lo studio degli attacchi di inferenza e la loro connessione con la generalizzazione e la memorizzazione. Questo framework considera un approccio più generale senza fare alcuna ipotesi sulla distribuzione dei parametri del modello dati l’insieme di addestramento.
L’idea principale proposta nell’articolo è quella di studiare l’interazione tra la generalizzazione, la Privacy Differenziale (DP), l’attributo e gli attacchi di inferenza di appartenenza da una prospettiva diversa e complementare rispetto ai lavori precedenti. L’articolo estende i risultati al caso più generale delle funzioni di perdita a coda limitata e considera un attaccante bayesiano con accesso white-box, che restituisce un limite superiore sulla probabilità di successo di tutti gli avversari possibili e anche sul divario di generalizzazione. L’articolo dimostra che l’affermazione inversa, ‘la generalizzazione implica la privacy’, è stata dimostrata falsa nei lavori precedenti e fornisce una prova contraria fornendo un esempio in cui il divario di generalizzazione tende a 0 mentre l’attaccante raggiunge una precisione perfetta. Concretamente, questo lavoro propone un formalismo per la modellazione degli attacchi di inferenza di appartenenza e/o attributo sui sistemi di apprendimento automatico (ML). Fornisce un quadro semplice e flessibile con definizioni che possono essere applicate a diverse configurazioni dei problemi. La ricerca stabilisce anche limiti universali sul tasso di successo degli attacchi di inferenza, che possono fungere da garanzia di privacy e guidare la progettazione di meccanismi di difesa della privacy per i modelli di ML. Gli autori indagano la connessione tra il divario di generalizzazione e l’inferenza di appartenenza, mostrando che una cattiva generalizzazione può portare a una perdita di privacy. Studiano anche la quantità di informazioni memorizzate da un modello addestrato sul suo insieme di addestramento e il suo ruolo negli attacchi alla privacy, scoprendo che l’informazione mutua limita il guadagno dell’attaccante bayesiano. Gli esperimenti numerici sulla regressione lineare e le reti neurali profonde per la classificazione dimostrano l’efficacia dell’approccio proposto nell’valutare i rischi per la privacy.
Gli esperimenti del team di ricerca forniscono un’idea sulla perdita di informazioni dei modelli di apprendimento automatico. Utilizzando dei limiti, il team è riuscito a valutare il tasso di successo degli attaccanti e si è scoperto che i limiti inferiori sono una funzione del divario di generalizzazione. Questi limiti inferiori non possono garantire che nessun attacco possa avere prestazioni migliori. Tuttavia, se il limite inferiore è superiore al semplice caso di indovinare a caso, allora si considera che il modello sta rivelando informazioni sensibili. Il team ha dimostrato che i modelli suscettibili ad attacchi di inferenza di appartenenza potrebbero essere vulnerabili ad altre violazioni della privacy, come rivelato attraverso attacchi di inferenza di attributi. L’efficacia di diverse strategie di inferenza degli attributi è stata confrontata, dimostrando che l’accesso white-box al modello può portare a guadagni significativi. Il tasso di successo dell’attaccante bayesiano fornisce una forte garanzia di privacy, ma calcolare la regione di decisione associata sembra computazionalmente impossibile. Tuttavia, il team ha fornito un esempio sintetico utilizzando la regressione lineare e dati gaussiani, in cui è stato possibile calcolare le distribuzioni coinvolte in modo analitico.
- PaLM AI | L’IA generativa di Google fatta in casa
- Incontra TxGNN un nuovo modello che utilizza l’apprendimento profondo geometrico e l’intelligenza artificiale centrata sull’essere umano per fare previsioni senza addestramento sull’uso terapeutico attraverso una vasta gamma di 17.080 malattie.
- Incontra P+ uno spazio di embedding ricco per l’inversione testuale estesa nella generazione di testo-immagine
In conclusione, l’uso crescente degli algoritmi di Machine Learning (ML) ha sollevato preoccupazioni riguardo alla privacy e alla sicurezza. Ricerche recenti hanno evidenziato il rischio di perdita di informazioni sensibili attraverso attacchi di inferenza di appartenenza e attributi. Per affrontare questa problematica, è stata proposta una nuova formalizzazione che fornisce un approccio più generale per comprendere questi attacchi e la loro connessione con la generalizzazione e la memorizzazione. Il team di ricerca ha stabilito limiti universali sul tasso di successo degli attacchi di inferenza, che possono fungere da garanzia di privacy e guidare la progettazione di meccanismi di difesa della privacy per i modelli di ML. I loro esperimenti sulla regressione lineare e sulle reti neurali profonde hanno dimostrato l’efficacia dell’approccio proposto nella valutazione dei rischi per la privacy. In generale, questa ricerca fornisce preziose informazioni sulla perdita di informazioni dei modelli di ML e sottolinea la necessità di continuare gli sforzi per migliorare la loro privacy e sicurezza.
