I generatori AI di volti falsi possono essere riavvolti per rivelare i veri volti su cui si sono allenati

Posted on

Il lavoro solleva alcuni seri problemi di privacy. “La comunità dell’IA ha un senso di sicurezza fuorviante quando condivide modelli di rete neurale profonda addestrati”, afferma Jan Kautz, vicepresidente della ricerca sull’apprendimento e la percezione di Nvidia.

In teoria questo tipo di attacco potrebbe applicarsi ad altri dati legati a un individuo, come dati biometrici o medici. D’altra parte, Webster sottolinea che la tecnica potrebbe essere utilizzata anche dalle persone per verificare se i loro dati sono stati utilizzati per addestrare un’IA senza il loro consenso.

Un artista potrebbe verificare se il proprio lavoro è stato utilizzato per addestrare un GAN in uno strumento commerciale, dice: “Potresti usare un metodo come il nostro per provare la violazione del copyright”.

Il processo potrebbe anche essere utilizzato per assicurarsi che i GAN non espongano dati privati ​​in primo luogo. Il GAN ​​ha potuto verificare se le sue creazioni assomigliavano a esempi reali nei suoi dati di addestramento, utilizzando la stessa tecnica sviluppata dai ricercatori, prima di rilasciarle.

Tuttavia, questo presuppone che tu possa ottenere quei dati di allenamento, afferma Kautz. Lui e i suoi colleghi di Nvidia hanno escogitato un modo diverso per esporre i dati privati, comprese immagini di volti e altri oggetti, dati medici e altro, che non richiede affatto l’accesso ai dati di allenamento.

Invece, hanno sviluppato un algoritmo in grado di ricreare i dati a cui è stato esposto un modello addestrato da invertendo i passaggi che il modello attraversa durante il trattamento di tali dati. Prendi una rete di riconoscimento delle immagini addestrata: per identificare cosa c’è in un’immagine, la rete la fa passare attraverso una serie di strati di neuroni artificiali, con ogni strato che estrae diversi livelli di informazioni, dai bordi astratti, alle forme, alle caratteristiche più riconoscibili.

Il team di Kautz ha scoperto che potevano interrompere un modello nel mezzo di questi passaggi e invertire la sua direzione, ricreando l’immagine di input dai dati interni del modello. Hanno testato la tecnica su una varietà di modelli comuni di riconoscimento delle immagini e GAN. In un test, hanno dimostrato di poter ricreare accuratamente le immagini da ImageNet, uno dei set di dati di riconoscimento delle immagini più conosciuti.

Immagini da ImageNet (in alto) insieme a ricreazioni di quelle immagini realizzate riavvolgendo un modello addestrato su ImageNet (in basso)

Come il lavoro di Webster, le immagini ricreate assomigliano molto a quelle reali. “Siamo rimasti sorpresi dalla qualità finale”, afferma Kautz.

I ricercatori sostengono che questo tipo di attacco non è semplicemente ipotetico. Gli smartphone e altri piccoli dispositivi stanno iniziando a utilizzare più AI. A causa dei limiti di batteria e memoria, i modelli di intelligenza artificiale a volte vengono elaborati solo a metà sul dispositivo stesso e il modello semieseguito viene inviato al cloud per l’elaborazione finale, un approccio noto come split computing. La maggior parte dei ricercatori presume che lo split computing non rivelerà alcun dato privato dal telefono di una persona perché viene condiviso solo il modello di intelligenza artificiale, afferma Kautz. Ma il suo attacco mostra che non è così.

Kautz e i suoi colleghi stanno ora lavorando per trovare modi per impedire ai modelli di perdere dati privati. Volevamo capire i rischi in modo da poter ridurre al minimo le vulnerabilità, dice.

Anche se usano tecniche molto diverse, pensa che il suo lavoro e quello di Webster si completino a vicenda. Il team di Webster ha mostrato che i dati privati ​​possono essere trovati nell’output di un modello; Il team di Kautz ha mostrato che i dati privati ​​possono essere rivelati andando al contrario, ricreando l’input. “Esplorare entrambe le direzioni è importante per comprendere meglio come prevenire gli attacchi”, afferma Kautz.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *