AI netikrų veidų generatoriai gali būti atsukti, kad būtų atskleisti tikrieji veidai, prie kurių jie mokėsi

AI netikrų veidų generatoriai gali būti atsukti, kad būtų atskleisti tikrieji veidai, prie kurių jie mokėsi

Tačiau tai daro prielaidą, kad galite gauti tuos mokymo duomenis, sako Kautzas. Jis ir jo kolegos iš „Nvidia“ sugalvojo kitokį būdą atskleisti privačius duomenis, įskaitant veidų ir kitų objektų vaizdus, ​​medicininius duomenis ir kt., todėl visai nereikia prieigos prie mokymo duomenų.

Vietoj to, jie sukūrė algoritmą, kuris gali iš naujo sukurti duomenis, su kuriais susidūrė apmokytas modelis, pakeisdami veiksmus, kuriuos modelis atlieka apdorodamas tuos duomenis. Paimkite apmokytą vaizdo atpažinimo tinklą: kad nustatytų, kas yra vaizde, tinklas perduoda jį per dirbtinių neuronų sluoksnius. Kiekvienas sluoksnis išgauna skirtingus informacijos lygius – nuo ​​kraštų iki formų iki labiau atpažįstamų ypatybių.

Kautzo komanda nustatė, kad atlikdami šiuos veiksmus jie gali nutraukti modelio veikimą ir pakeisti jo kryptį, iš naujo sukurdami įvesties vaizdą iš vidinių modelio duomenų. Jie išbandė techniką su įvairiais įprastais vaizdo atpažinimo modeliais ir GAN. Vieno bandymo metu jie parodė, kad jie gali tiksliai atkurti vaizdus iš „ImageNet“, vieno geriausiai žinomų vaizdo atpažinimo duomenų rinkinių.

Vaizdai iš „ImageNet“ (viršuje) kartu su tų vaizdų atkūrimais, padarytais atsukant „ImageNet“ apmokytą modelį (apačioje)

NVIDIA

Kaip ir Websterio kūryboje, iš naujo sukurti vaizdai labai panašūs į tikrus. „Mus nustebino galutinė kokybė“, – sako Kautzas.

Tyrėjai teigia, kad toks išpuolis nėra tik hipotetinis. Išmanieji telefonai ir kiti maži įrenginiai pradeda naudoti daugiau dirbtinio intelekto. Dėl baterijos ir atminties apribojimų modeliai kartais apdorojami tik iš dalies pačiame įrenginyje ir siunčiami į debesį, kad būtų atliktas galutinis skaičiavimas. Šis metodas žinomas kaip padalintas kompiuteris. Dauguma tyrinėtojų mano, kad padalytas skaičiavimas neatskleis jokių asmeninių duomenų iš asmens telefono, nes bendrinamas tik modelis, sako Kautzas. Tačiau jo išpuolis rodo, kad taip nėra.

Kautzas ir jo kolegos dabar stengiasi sugalvoti būdus, kaip neleisti modeliams nutekėti privačių duomenų. Norėjome suprasti riziką, kad galėtume sumažinti pažeidžiamumą, sako jis.

Nors jie naudoja labai skirtingas technikas, jis mano, kad jo ir Websterio darbai puikiai papildo vienas kitą. Websterio komanda parodė, kad modelio išvestyje galima rasti privačių duomenų; Kautzo komanda parodė, kad privatūs duomenys gali būti atskleisti einant atvirkščiai, iš naujo sukuriant įvestį. „Svarbu ištirti abi puses, kad būtų geriau suprasta, kaip užkirsti kelią atakoms“, – sako Kautzas.

Leave a Comment

Your email address will not be published.