Dies setzt jedoch voraus, dass man sich diese Trainingsdaten beschaffen kann, sagt Kautz. Er und seine Kollegen bei Nvidia haben sich einen anderen Weg ausgedacht, um private Daten, einschließlich Bilder von Gesichtern und anderen Objekten, medizinischen Daten und mehr, freizugeben, für die überhaupt kein Zugriff auf Trainingsdaten erforderlich ist.
Stattdessen entwickelten sie einen Algorithmus, der die Daten, denen ein trainiertes Modell ausgesetzt wurde, neu erstellen kann, indem die Schritte, die das Modell bei der Verarbeitung dieser Daten durchläuft, umgekehrt werden. Nehmen Sie ein trainiertes Bilderkennungsnetzwerk: Um zu identifizieren, was in einem Bild enthalten ist, leitet das Netzwerk es durch eine Reihe von Schichten künstlicher Neuronen, wobei jede Schicht unterschiedliche Informationsebenen extrahiert, von abstrakten Kanten über Formen bis hin zu erkennbareren Merkmalen.
Das Team von Kautz fand heraus, dass sie ein Modell mitten in diesen Schritten unterbrechen und seine Richtung umkehren konnten, indem sie das Eingabebild aus den internen Daten des Modells neu erstellten. Sie testeten die Technik an einer Vielzahl von gängigen Bilderkennungsmodellen und GANs. In einem Test zeigten sie, dass sie Bilder aus ImageNet, einem der bekanntesten Bilderkennungsdatensätze, genau nachbilden konnten.
NVIDIA
Wie Websters Arbeit ähneln die nachgebildeten Bilder den echten sehr. „Wir waren von der Endqualität überrascht“, sagt Kautz.
Die Forscher argumentieren, dass diese Art von Angriff nicht nur hypothetisch ist. Smartphones und andere kleine Geräte verwenden zunehmend KI. Aufgrund von Batterie- und Speicherbeschränkungen werden Modelle manchmal nur zur Hälfte auf dem Gerät selbst verarbeitet und für den abschließenden Computing Crunch in die Cloud gesendet, ein Ansatz, der als Split Computing bekannt ist. Die meisten Forscher gehen davon aus, dass beim Split Computing keine privaten Daten vom Telefon einer Person preisgegeben werden, weil nur das Modell geteilt wird, sagt Kautz. Doch sein Angriff zeigt, dass dies nicht der Fall ist.
Kautz und seine Kollegen arbeiten nun daran, Wege zu finden, um zu verhindern, dass Modelle private Daten preisgeben. Wir wollten die Risiken verstehen, um Schwachstellen zu minimieren, sagt er.
Obwohl sie sehr unterschiedliche Techniken verwenden, findet er, dass sich seine Arbeit und die von Webster gut ergänzen. Websters Team zeigte, dass in der Ausgabe eines Modells private Daten zu finden sind; Das Team von Kautz zeigte, dass private Daten aufgedeckt werden können, indem man umgekehrt vorgeht und die Eingabe neu erstellt. „Die Erkundung beider Richtungen ist wichtig, um besser zu verstehen, wie man Angriffe abwehren kann“, sagt Kautz.