ستساعدك المقالة التالية: سرقة نماذج التعلم الآلي من خلال مخرجات API
يقدم بحث جديد من كندا طريقة ممكنة يمكن للمهاجمين من خلالها سرقة ثمار أطر التعلم الآلي الباهظة الثمن ، حتى عندما يكون الوصول الوحيد إلى نظام احتكاري عبر واجهة برمجة تطبيقات (API) شديدة التعقيم ومحمية جيدًا (واجهة أو بروتوكول يعالج استفسارات المستخدم من جانب الخادم ، وإرجاع استجابة الإخراج فقط).
نظرًا لأن قطاع الأبحاث يتطلع بشكل متزايد نحو تحقيق الدخل من تدريب النموذج المكلف من خلال تطبيقات التعلم الآلي كخدمة (MLaaS) ، فإن العمل الجديد يشير إلى أن التعلم تحت الإشراف الذاتي تعد نماذج (SSL) أكثر عرضة لهذا النوع من تسلل النموذج ، لأنها مدربة بدون تسميات المستخدم ، وتبسيط الاستخراج ، وعادة ما تقدم نتائج تحتوي على قدر كبير من المعلومات المفيدة لشخص يرغب في تكرار نموذج المصدر (المخفي).
في محاكاة اختبار “الصندوق الأسود” (حيث لم يمنح الباحثون أنفسهم إمكانية الوصول إلى نموذج “الضحية” المحلي أكثر من المستخدم النهائي العادي عبر واجهة برمجة تطبيقات الويب) ، تمكن الباحثون من تكرار الأنظمة المستهدفة بموارد منخفضة نسبيًا :
المصدر: https://arxiv.org/pdf/2205.07890.pdf
لاحظ الباحثون أيضًا أن الأساليب المناسبة لحماية النماذج الخاضعة للإشراف من الهجوم لا تتكيف جيدًا مع النماذج المدربة على أساس غير خاضع للإشراف – على الرغم من أن مثل هذه النماذج تمثل بعضًا من أكثر ثمار قطاع تخليق الصور ترقبًا واحتفاءً.
الجديد ورق يحمل العنوان ، ويأتي من جامعة تورنتو ومعهد Vector للذكاء الاصطناعي.
الوعي الذاتي
في التعلم الخاضع للإشراف الذاتي ، يتم تدريب النموذج على البيانات غير المسماة. بدون تسميات ، يجب أن يتعلم نموذج SSL الارتباطات والمجموعات من البنية الضمنية للبيانات ، والبحث عن جوانب مماثلة من البيانات وتجميع هذه الجوانب تدريجيًا في عقد ، أو تمثيلات.
عندما يكون نهج SSL قابلاً للتطبيق ، يكون مثمرًا بشكل لا يصدق ، لأنه يتجاوز الحاجة إلى تصنيف مكلف (غالبًا ما يتم الاستعانة بمصادر خارجية ومثير للجدل) من قبل عمال الجماهير ، ويقوم بشكل أساسي بترشيد البيانات بشكل مستقل.
نهج SSL الثلاثة التي نظر فيها مؤلفو الورقة الجديدة هي سيمكلر، أ ؛ سمسم، شبكة سيامية أخرى تركز على التعلم التمثيلي ؛ و التوائم بارلو، وهو نهج SSL حقق أحدث أداء لمصنف ImageNet عند إصداره في عام 2021.
يعد استخراج نموذج للبيانات المصنفة (أي نموذج تم تدريبه من خلال التعلم الخاضع للإشراف) نسبيًا وثق بشكل جيد منطقة البحوث. من السهل أيضًا الدفاع ضده ، حيث يجب على المهاجم الحصول على الملصقات من نموذج الضحية من أجل ذلك أعد إنشائه.
المصدر: https://arxiv.org/pdf/1812.02766.pdf
بدون الوصول إلى المربع الأبيض ، هذه ليست مهمة تافهة ، لأن الإخراج النموذجي من طلب API إلى مثل هذا النموذج يحتوي على معلومات أقل من مع واجهة برمجة تطبيقات SSL النموذجية.
من الورق *:
بحكم الواقع
العمارة والبيانات
اختبر الباحثون ثلاث طرق للاستدلال / الاستخراج لنموذج SSL: حيث تتم مقارنة إخراج API بإخراج التشفير المعاد إنشاؤه عبر دالة خسارة مناسبة مثل متوسط الخطأ التربيعي (MSE) ؛ ، حيث يتم إعادة تجميع الوظيفة التحليلية الحاسمة للنموذج ، والتي عادة ما يتم تجاهلها قبل النشر ، واستخدامها في نموذج نسخة متماثلة ؛ وهذا ممكن فقط في الحالات التي يكون فيها المطورون الأصليون قد أتاحوا الهندسة المعمارية.
وجد الباحثون أن الاستخراج المباشر كان الطريقة الأكثر فاعلية للحصول على نسخة طبق الأصل وظيفية للنموذج المستهدف ، وله فائدة إضافية تتمثل في كونه الأكثر صعوبة في وصفه بأنه “هجوم” (لأنه يتصرف بشكل أساسي بشكل مختلف قليلاً عن النموذج النموذجي والصحيح. المستخدم النهائي).
قام المؤلفون بتدريب نماذج الضحايا على ثلاث مجموعات بيانات للصور: سيفار 10و ImageNetوأرقام المنازل الخاصة بالتجوّل الافتراضي في ستانفورد (SVHN). تم التدريب على ImageNet ResNet50، بينما تم تدريب CIFAR10 و SVHN على ResNet18 و ResNet24 على تطبيق PyTorch المتاح مجانًا سيمكلر.
تم اختبار أداء النماذج (أي المنشورة) مقابل CIFAR100 ، STL10و SVHN و أزياء MNIST. جرب الباحثون أيضًا المزيد من أساليب “الصندوق الأبيض” لتخصيص النموذج ، على الرغم من أنه تبين أن الاستخراج المباشر ، النهج الأقل امتيازًا ، حقق أفضل النتائج.
لتقييم التمثيلات التي يتم استنتاجها وتكرارها في الهجمات ، أضاف المؤلفون طبقة توقع خطي إلى النموذج ، والتي تم ضبطها بدقة على مجموعة التدريب المسمى بالكامل من المهمة اللاحقة (المصب) ، مع تجميد بقية طبقات الشبكة . بهذه الطريقة ، يمكن أن تعمل دقة الاختبار على طبقة التنبؤ كمقياس للأداء. نظرًا لأنه لا يساهم في أي شيء في عملية الاستدلال ، فإن هذا لا يمثل وظيفة “المربع الأبيض”.
وتعليقًا على النتائج قال الباحثون:
وتواصل:
