Tyrėjai sukūrė naują išpuolį, kuris atskleidžia privatumo pažeidžiamumą, nustatydami, ar jūsų duomenys buvo naudojami AI modeliams mokyti.
Metodą, pavadintą Camia (konteksto žinių apie narystės išvadų išpuolį), sukūrė „Brave“ ir Singapūro Nacionalinio Nacionalinio universiteto tyrėjai ir yra daug efektyvesnis nei ankstesni bandymai nustatyti AI modelių „atmintį“.
AI, kur modeliai netyčia saugo ir gali netyčia saugoti ir gali nutekėti neskelbtiną informaciją iš jų mokymo rinkinių, vis labiau rūpi „įsiminti duomenis“. Sveikatos priežiūros srityje modelis, apmokytas dėl klinikinių pastabų, netyčia galėtų atskleisti neskelbtiną paciento informaciją. Verslui, jei mokymuose buvo naudojami vidiniai el. Laiškai, užpuolikas gali sugriauti LLM, kad atkurtų privačių įmonių ryšius.
Tokius privatumo problemas sustiprino naujausi pranešimai, tokie kaip „LinkedIn“ planas naudoti vartotojo duomenis, kad patobulintų jo generatyvius AI modelius, kelti klausimus, ar privatus turinys gali būti nukreiptas į sugeneruotą tekstą.
Norėdami patikrinti šį nuotėkį, saugumo ekspertai naudoja narystės išvadų išpuolius arba MIAS. Paprastai tariant, Mia užduoda modelį kritinį klausimą: „Ar mokymo metu matėte šį pavyzdį?“. Jei užpuolikas gali patikimai išsiaiškinti atsakymą, jis įrodo, kad modelis yra informacijos apie jo mokymo duomenis, keliančius tiesioginį privatumo riziką.
Pagrindinė idėja yra ta, kad modeliai dažnai elgiasi skirtingai tvarkant duomenis, kuriuose jie buvo apmokyti, palyginti su naujais, nematytais duomenimis. MIAS yra skirta sistemingai išnaudoti šias elgesio spragas.
Iki šiol dauguma MIA iš esmės buvo neveiksmingi prieš šiuolaikinę generacinę AIS. Taip yra todėl, kad iš pradžių jie buvo sukurti paprastesniems klasifikavimo modeliams, kurie suteikia vieną išėjimą kiekvienam įvestimi. Tačiau LLM sukuria teksto žetoną, o kiekvienam naujam žodžiui įtakos turi žodžiai, kurie buvo prieš jį. Šis nuoseklus procesas reiškia, kad tiesiog peržiūrint bendrą pasitikėjimą teksto bloku praleidžiama momentinė dinamika, kai iš tikrųjų nutekėjimas.
Pagrindinė naujos „Camia“ privatumo atakos įžvalga yra ta, kad AI modelio įsiminimas priklauso nuo konteksto. AI modelis labiausiai remiasi įsimenimu, kai neaišku, ką pasakyti toliau.
Pvz., Atsižvelgiant į priešdėlį „Haris Poteris yra… parašytas … Hario pasaulis …“, žemiau pateiktame „Brave“ pavyzdyje modelis gali lengvai atspėti, kad kitas žetonas yra „Poteris“ per apibendrinimą, nes kontekstas pateikia stiprius įkalčius.
Tokiu atveju užtikrinta prognozė nenurodo įsiminimo. Tačiau jei priešdėlis yra tiesiog „Haris“, prognozuoti „Poteris“ tampa daug sunkesnis, neįsiminus konkrečių treniruočių sekų. Šiame dviprasmiškame scenarijuje numatytas mažo nuostolių, didelio pasitikėjimo savimi prognozė yra daug stipresnis įsiminimo rodiklis.
„Camia“ yra pirmoji privatumo ataka, specialiai pritaikyta išnaudoti šį šiuolaikinių AI modelių generatyvų pobūdį. Tai seka, kaip modelio neapibrėžtumas vystosi kuriant tekstą, leidžiant išmatuoti, kaip greitai AI pereina nuo „spėlionės“ prie „užtikrinto prisiminimo“. Veikdamas ženklo lygmeniu, jis gali koreguoti situacijas, kai mažą neapibrėžtį sukelia paprastas pasikartojimas ir gali nustatyti subtilius tikrojo įsiminimo modelius, kurių praleidžia kiti metodai.
Tyrėjai išbandė Camia ant Mimiro etalono keliuose Pythia ir GPT-neo modeliuose. Puolant 2,8b parametro „Pythia“ modelį „Arxiv“ duomenų rinkinyje, „Camia“ beveik padvigubino ankstesnių metodų aptikimo tikslumą. Tai padidino tikrąjį teigiamą procentą nuo 20,11% iki 32,00%, išlaikant labai mažą klaidingą teigiamą procentą – tik 1%.
Atakos sistema taip pat yra efektyvi skaičiavimu. Viename A100 GPU Camia gali apdoroti 1000 mėginių maždaug per maždaug 38 minutes, todėl tai yra praktinis įrankis audito modeliams.
Šis darbas PG pramonei primena apie privatumo riziką mokant vis didesnių modelių dideliuose, nefiltruotuose duomenų rinkiniuose. Tyrėjai tikisi, kad jų darbas paskatins daugiau privatumo išsaugojimo metodų plėtrą ir prisidės prie nuolatinių pastangų subalansuoti AI naudingumą su pagrindiniu vartotojo privatumu.
Taip pat žiūrėkite: „Samsung“ etalonai realus įmonės AI modelių produktyvumas
Norite sužinoti daugiau apie AI ir didelius duomenis iš pramonės lyderių? Peržiūrėkite AI ir „Big Data Expo“, vykstančią Amsterdame, Kalifornijoje ir Londone. Išsamus renginys yra „TechEx“ dalis ir yra kartu su kitais pagrindiniais technologijų įvykiais, spustelėkite čia, jei norite gauti daugiau informacijos.
„AI News“ maitina „TechForge Media“. Čia ištirkite kitus būsimus įmonių technologijų renginius ir internetinius seminarus.
