با این حال ، فرض بر این است که شما می توانید این داده های آموزشی را در اختیار داشته باشید ، کائوتز می گوید. او و همکارانش در انویدیا رویکرد متفاوتی برای افشای داده های خصوصی ارائه کرده اند ، از جمله تصاویر چهره ها و اشیاء دیگر ، داده های پزشکی و موارد دیگر که نیازی به دسترسی به داده های آموزشی ندارند.
در عوض ، آنها یک الگوریتم ایجاد کردند که می تواند داده هایی را که یک مدل آموزش دیده در معرض آن قرار گرفته است ، با چرخاندن مراحل مدل در حین پردازش آن داده ها ، بازسازی کند. از یک شبکه آموزش دیده برای تشخیص تصویر استفاده کنید: برای شناسایی آنچه در تصویر وجود دارد ، شبکه آن را از طریق یک سری لایه های نورون های مصنوعی عبور می دهد. هر لایه سطوح مختلف اطلاعات را از لبه ها گرفته تا اشکال و ویژگی های قابل تشخیص بیشتر استخراج می کند.
تیم کائوتز دریافتند که می توانند یک مدل را در وسط این مراحل قطع کرده و جهت آن را معکوس کرده و تصویر ورودی را از داده های داخلی مدل بازسازی کنند. آنها این تکنیک را بر روی مدلهای رایج تشخیص تصویر و GAN ها آزمایش کردند. در یک آزمایش ، آنها نشان دادند که می توانند تصاویر را به طور دقیق از ImageNet ، یکی از شناخته شده ترین مجموعه داده های تشخیص تصویر ، بازسازی کنند.
NVIDIA
همانطور که در کارهای وبستر ، تصاویر بازسازی شده شبیه تصاویر واقعی هستند. کائوتز می گوید: “ما از کیفیت نهایی شگفت زده شدیم.”
محققان معتقدند چنین حمله ای فقط فرضی نیست. تلفن های هوشمند و دیگر دستگاه های کوچک شروع به استفاده بیشتر از هوش مصنوعی کرده اند. به دلیل محدودیت در باتری و حافظه ، بعضی اوقات مدلها تنها روی دستگاه نیمه پردازش می شوند و برای آخرین محاسبات نهایی به ابر ارسال می شوند ، روشی که به محاسبه تقسیم معروف است. کائوتز می گوید ، اکثر محققان موافقند که محاسبه تقسیم اطلاعات خصوصی از تلفن شخص را نشان نمی دهد ، زیرا فقط مدل به اشتراک گذاشته شده است. اما حمله او نشان می دهد که اینطور نیست.
کائوتز و همکارانش در حال تلاش برای یافتن راه هایی برای جلوگیری از نشت اطلاعات خصوصی مدل هستند. او می گوید ما می خواستیم خطرات را درک کنیم تا بتوانیم آسیب پذیری ها را کاهش دهیم.
با وجود اینکه آنها از تکنیک های بسیار متفاوتی استفاده می کنند ، او فکر می کند که کارهای او و وبستر مکمل یکدیگر هستند. تیم وبستر نشان داد که داده های خصوصی را می توان در خروجی یک مدل یافت. تیم کائوتز نشان داد که داده های خصوصی را می توان با بازآفرینی ورودی و برعکس نشان داد. کائوتز می گوید: “بررسی هر دو جهت برای درک بهتر نحوه جلوگیری از حملات مهم است.”
