Pourtant, cela suppose que vous puissiez obtenir ces données d’entraînement, explique Kautz. Lui et ses collègues de Nvidia ont mis au point une manière différente d’exposer des données privées, notamment des images de visages et d’autres objets, des données médicales, etc., qui ne nécessite aucun accès aux données d’entraînement.
Au lieu de cela, ils ont développé un algorithme qui peut recréer les données auxquelles un modèle formé a été exposé en inversant les étapes par lesquelles le modèle passe lors du traitement de ces données. Prenez un réseau de reconnaissance d’images entraîné : pour identifier le contenu d’une image, le réseau la fait passer à travers une série de couches de neurones artificiels. Chaque couche extrait différents niveaux d’informations, des contours aux formes en passant par des caractéristiques plus reconnaissables.
L’équipe de Kautz a découvert qu’elle pouvait interrompre un modèle au milieu de ces étapes et inverser sa direction, recréant l’image d’entrée à partir des données internes du modèle. Ils ont testé la technique sur une variété de modèles de reconnaissance d’images et de GAN courants. Dans un test, ils ont montré qu’ils pouvaient recréer avec précision des images à partir d’ImageNet, l’un des ensembles de données de reconnaissance d’images les plus connus.
NVIDIA
Comme dans le travail de Webster, les images recréées ressemblent étroitement aux vraies. « Nous avons été surpris par la qualité finale », déclare Kautz.
Les chercheurs soutiennent que ce type d’attaque n’est pas simplement hypothétique. Les smartphones et autres petits appareils commencent à utiliser davantage l’IA. En raison des contraintes de batterie et de mémoire, les modèles ne sont parfois qu’à moitié traités sur l’appareil lui-même et envoyés vers le cloud pour le calcul final, une approche connue sous le nom de split computing. La plupart des chercheurs supposent que l’informatique partagée ne révélera aucune donnée privée du téléphone d’une personne, car seul le modèle est partagé, explique Kautz. Mais son attaque montre que ce n’est pas le cas.
Kautz et ses collègues travaillent maintenant à trouver des moyens d’empêcher les modèles de divulguer des données privées. Nous voulions comprendre les risques afin de minimiser les vulnérabilités, dit-il.
Même s’ils utilisent des techniques très différentes, il pense que son travail et celui de Webster se complètent bien. L’équipe de Webster a montré que des données privées pouvaient être trouvées dans la sortie d’un modèle ; L’équipe de Kautz a montré que les données privées pouvaient être révélées en allant à l’envers, en recréant l’entrée. « Explorer les deux directions est important pour mieux comprendre comment prévenir les attaques », déclare Kautz.
