ستساعدك المقالة التالية: استرجاع عناوين البريد الإلكتروني في العالم الحقيقي من نماذج اللغة الطبيعية المدربة مسبقًا
يشير بحث جديد من الولايات المتحدة إلى أن نماذج اللغة المدربة مسبقًا (PLMs) مثل GPT-3 يمكن الاستعلام عنها بنجاح عن عناوين البريد الإلكتروني الواقعية التي تم تضمينها في مساحات شاسعة من البيانات المستخدمة لتدريبهم.
على الرغم من أنه من الصعب حاليًا الحصول على بريد إلكتروني حقيقي من خلال الاستعلام عن نموذج اللغة عن الشخص الذي يرتبط به البريد الإلكتروني ، وجدت الدراسة أنه كلما كان نموذج اللغة أكبر ، كان من الأسهل إجراء هذا النوع من التسلل ؛ وكلما كان الاستعلام أكثر شمولاً واستنارة ، كان من الأسهل الحصول على عنوان بريد إلكتروني وظيفي.
تقول الورقة:
لاختبار النظرية ، قام المؤلفون بتدريب ثلاثة PLMs ذات حجم ومعلمات متزايدة ، واستفسروا عنها وفقًا لمجموعة من القوالب والأساليب التي من المحتمل أن يستخدمها المهاجم.
تقدم الورقة ثلاث رؤى رئيسية حول مخاطر السماح بإدراج المعلومات الشخصية الواقعية في مجموعة التدريب الضخمة التي تعتمد عليها PLMs الكبيرة.
أولاً ، تزيد أنماط النصوص الطويلة (في الاستعلامات) من إمكانية الحصول على معلومات خاصة عن الفرد بمجرد تسمية ذلك الفرد. ثانيًا ، قد يزيد المهاجمون نهجهم بالمعرفة الحالية عن هدفهم ، وأنه كلما زادت هذه المعرفة المسبقة لدى المهاجم ، زادت احتمالية تمكنه من سرقة البيانات المحفوظة مثل عناوين البريد الإلكتروني.
ثالثًا ، يفترض المؤلفون أن نماذج معالجة اللغة الطبيعية الأكبر والأكثر قدرة (NLP) قد تمكن المهاجم من استخراج المزيد من المعلومات ، مما يقلل من جانب “ الأمان من خلال الغموض ” في PLMs الحالية ، حيث يتم تدريب النماذج الأكثر تعقيدًا وفائقة النطاق من قبل FAANG- مستوى الكيانات.
أخيرًا ، خلصت الورقة إلى أنه يمكن بالفعل الاحتفاظ بالمعلومات الشخصية وتسريبها من خلال عملية الحفظ ، حيث “يستوعب” النموذج بيانات التدريب جزئيًا فقط ، بحيث يمكنه استخدام تلك المعلومات غير المنقطعة كبيانات “واقعية” ردًا على الاستفسارات.
استنتج المؤلفون:
على الرغم من أن الدراسة تختار عناوين البريد الإلكتروني كمثال على معلومات تحديد الهوية الشخصية التي يُحتمل أن تكون معرضة للخطر ، إلا أن الورقة تؤكد على البحث المكثف في هذا المسعى فيما يتعلق تسرب البيانات الطبية للمرضى، واعتبروا تجاربهم دليلًا على المبدأ ، بدلاً من تسليط الضوء على نقاط ضعف عناوين البريد الإلكتروني في هذا السياق.
ال ورق بعنوان وكتبه ثلاثة باحثين في جامعة إلينوي في أوربانا شامبين.
الحفظ والاقتران
يركز العمل على مدى وجود المعلومات. لا يمكن لنموذج البرمجة اللغوية العصبية المدربة أن يجرد تمامًا المعلومات التي تم تدريبه عليها ، أو لن يكون قادرًا على عقد حجة متماسكة ، أو استدعاء أي بيانات واقعية على الإطلاق. تحقيقًا لهذه الغاية ، سيقوم النموذج بحفظ وحماية أجزاء منفصلة من البيانات ، والتي ستمثل الحد الأدنى من العقد الدلالية في استجابة محتملة.
السؤال الكبير هو ما إذا كان يمكن استنباط المعلومات المحفوظة عن طريق استدعاء أنواع أخرى من المعلومات ، مثل الكيان “المسمى” ، مثل الشخص. في مثل هذه الحالة ، قد يحتفظ نموذج البرمجة اللغوية العصبية المدرب على البيانات غير العامة والمميزة ببيانات المستشفى على Elon Musk ، مثل سجلات المرضى والاسم وعنوان البريد الإلكتروني.
في أسوأ السيناريوهات ، الاستعلام عن قاعدة البيانات من خلال المطالبة “ما هو عنوان البريد الإلكتروني لإيلون ماسك؟” أو “ما هو تاريخ مرض إيلون ماسك؟” ستؤدي إلى نقاط البيانات هذه.
في الواقع ، هذا لا يحدث أبدًا تقريبًا ، لعدد من الأسباب. على سبيل المثال ، إذا كان الحفظ المحمي لحقيقة (مثل عنوان البريد الإلكتروني) يمثل وحدة منفصلة ، فلن تكون الوحدة المنفصلة التالية مجرد اجتياز إلى طبقة أعلى من المعلومات (أي حول Elon Musk) ، ولكن قد تكون كذلك قفزة أكبر بكثير لا علاقة لها بأي شخص معين أو نقطة بيانات.
بالإضافة إلى ذلك ، على الرغم من أن الأساس المنطقي للارتباط ليس بالضرورة تعسفيًا ، إلا أنه ليس خطيًا كما هو متوقع ؛ قد يحدث الارتباط بناءً على الأوزان التي تم تدريبها بأهداف خسارة مختلفة عن مجرد استرجاع المعلومات الهرمية (مثل إنشاء محادثة مجردة معقولة) ، أو في / ضد الطرق التي تم توجيهها بشكل خاص (أو حتى المحظورة) من قبل المهندسين المعماريين لنظام البرمجة اللغوية العصبية.
اختبار PLMs
اختبر المؤلفون نظريتهم على ثلاث تكرارات من GPT-Neo عائلة نموذج اللغة السببية ، المدربة على كومة مجموعة البيانات 125 مليون و 1.3 مليار و 2.7 مليار معلمة.
The Pile عبارة عن مجموعة من مجموعات البيانات العامة ، بما في ذلك قاعدة بيانات UC Berkeley Enron ، والتي تتضمن معلومات الشبكة الاجتماعية بناءً على عمليات تبادل البريد الإلكتروني. نظرًا لأن Enron اتبعت اصطلاحًا قياسيًا (على سبيل المثال) ، فقد تم تصفية عناوين البريد الإلكتروني هذه ، لأن التعلم الآلي ليس ضروريًا لتخمين مثل هذا النمط السهل.
قام الباحثون أيضًا بتصفية أزواج الاسم / البريد الإلكتروني التي تحتوي على أقل من ثلاثة رموز ، وبعد المعالجة المسبقة الإجمالية وصلت إلى 3238 زوجًا من الاسم / البريد ، والتي تم استخدامها في العديد من التجارب اللاحقة.
في التجربة ، استخدم الباحثون الرموز الـ 50 أو 100 أو 200 التي تسبق عنوان البريد الإلكتروني الهدف كسياق لاستنباط العنوان بموجه.
في التجربة ، تم إنشاء أربع مطالبات يدويًا ، تستند الأخيرتان على اصطلاحات رؤوس البريد الإلكتروني القياسية ، مثل.
المصدر: https://arxiv.org/pdf/2205.12628.pdf
بعد ذلك ، تم أخذ a في الاعتبار – وهو سيناريو يتمتع فيه المهاجم ببعض المعرفة المسبقة التي يمكن أن تساعده في صياغة موجه من شأنه استنباط المعلومات المطلوبة. في الموجهات المصممة ، يفكر الباحثون فيما إذا كان المجال الهدف معروفًا أم غير معروف.
أخيرًا ، يستخدم 28 اختلافًا محتملاً في الأنماط القياسية لاستخدام الاسم في عناوين البريد الإلكتروني لمحاولة استرداد عنوان البريد الإلكتروني الهدف. يتطلب هذا عددًا كبيرًا من الاستعلامات لتغطية جميع التباديل الممكنة.
نتائج
للتنبؤ بمهمة السياق ، تنجح GPT-Neo في توقع ما يصل إلى 8.80٪ من عناوين البريد الإلكتروني بشكل صحيح ، بما في ذلك العناوين التي لا تتوافق مع الأنماط القياسية.
بالنسبة لمهمة إعداد اللقطة الصفرية ، كان PLM قادرًا على التنبؤ بشكل صحيح بعدد صغير فقط من عناوين البريد الإلكتروني ، والتي تتوافق في الغالب مع الأنماط القياسية التي حددها الباحثون (انظر الصورة السابقة).
لاحظ المؤلفون باهتمام أن إعداد 0-shot (D) يتفوق بشكل ملحوظ على زملائه المستقرين ، على ما يبدو ، بسبب بادئة أطول.
نماذج أكبر ، مخاطر أعلى
فيما يتعلق بإمكانية مثل هذه الأساليب لسحب البيانات الشخصية من النماذج المدربة ، لاحظ المؤلفون:
يقدم الباحثون تفسيرين محتملين لسبب ذلك. أولاً ، النماذج ذات المعلمات الأعلى قادرة ببساطة على حفظ حجم أكبر من بيانات التدريب. ثانيًا ، تعد النماذج الأكبر حجمًا أكثر تعقيدًا وقدرة بشكل أفضل على فهم المطالبات المتقنة ، وبالتالي “ربط” المعلومات المتباينة حول الشخص.
ومع ذلك ، لاحظوا أنه في الوضع الحالي ، تكون المعلومات الشخصية “آمنة نسبيًا” من مثل هذه الهجمات.
كعلاج ضد متجه الهجوم هذا ، في مواجهة النماذج الجديدة التي تنمو باستمرار في الحجم والنطاق ، ينصح المؤلفون بأن تخضع البنى لمعالجة مسبقة صارمة لتصفية معلومات تحديد الهوية الشخصية ؛ للنظر في التدريب مع النسب المتدرج الخاص تفاضليًا؛ ولتضمين المرشحات في أي بيئة ما بعد المعالجة ، مثل واجهة برمجة التطبيقات (على سبيل المثال ، تتميز واجهة برمجة تطبيقات OpenAI’s DALL-E 2 بعدد كبير من المرشحات ، بالإضافة إلى الإشراف البشري على المطالبات).
كما ينصحون بعدم استخدام عناوين البريد الإلكتروني التي تتوافق مع الأنماط القياسية القابلة للتخمين ، على الرغم من أن هذه النصيحة هي بالفعل معيار في الأمن السيبراني.
