[questa pagina su wiki][indice][EN][BG][CS][DA][DE][EL][ES][ET][FI][FR][GA][HR][HU][IT][MT][NL][PL][PT][RO][SK][SL][SV]

Pratico: Applicare e valutare le tecniche di tutela della privacy

Informazioni amministrative

Titolo Difendersi dall'adesione e attribuire attacchi di inferenza nei modelli di apprendimento automatico
Durata 90 min
Modulo B
Tipo di lezione Pratico
Focus Etico — AI affidabile
Argomento Attacchi alla privacy sul machine learning, contromisure

Parole chiave

Privacy di apprendimento automatico, mitigazione, anonimizzazione, privacy differenziale, formazione differenziata privata, foresta casuale,

Obiettivi di apprendimento

Preparazione prevista

Obbligatorio per gli studenti

  • Pitone
  • Scikit
  • Panda
  • ARTE
  • Smartnoise-SDK
  • Virtual-env
  • Attacchi di adesione
  • Inferenza di attributo
  • Privacy differenziale
  • Valutazione del modello

Facoltativo per gli studenti

Nessuno.

Materiale didattico

Istruzioni per gli insegnanti

Questo esercizio di laboratorio è un follow up di Practical: Quadri di auditing della privacy e della protezione dei dati,in cui vengono sviluppati attacchi alla privacy contro i modelli ML, mentre questo evento di apprendimento attuale riguarda la mitigazione di questi attacchi.

I modelli di apprendimento automatico sono spesso formati su dati riservati (o personali, sensibili). Ad esempio, un tale modello può prevedere lo stipendio di un individuo dai suoi altri attributi (come l'istruzione, il luogo di vita, la razza, il sesso, ecc.). Un malinteso comune è che tali modelli non sono considerati dati personali anche se i loro dati di formazione sono personali (in effetti, i dati di formazione possono essere la raccolta di record sulle persone), in quanto sono calcolati da informazioni aggregate derivate dai dati sensibili di formazione (ad esempio, la media dei gradienti nelle reti neurali o entropia/numero di etichette nelle foreste casuali). L'obiettivo di questa sessione di laboratorio è quello di dimostrare che i modelli di apprendimento automatico possono essere considerati dati personali e quindi il loro trattamento è molto probabile che sia regolamentato in molti paesi (ad esempio, dal GDPR in Europa). Gli studenti progettano attacchi alla privacy per testare se i modelli addestrati perdono informazioni sui suoi dati di allenamento e mitigano anche questi attacchi. Ad esempio, gli attacchi di inferenza associativa mirano a rilevare la presenza di un determinato campione nei dati di allenamento di un modello target dai modelli e/o dal suo output. Gli attacchi White-box possono accedere sia ai modelli addestrati (compresi i suoi parametri) sia all'output del modello (ad esempio, le sue previsioni), mentre i modelli black-box possono accedere solo alle previsioni del modello per un determinato campione. Gli attacchi di inferenza degli attributi mirano a prevedere un attributo sensibile mancante dall'output del modello di machine learning che viene addestrato su tutti gli altri attributi.

Si raccomanda agli insegnanti di sottolineare il compromesso tra la conservazione della privacy e la qualità del modello/accuratezza dei dati in generale. Se necessario, possono essere integrati esercizi extra nel programma per dimostrarlo (valutare la qualità del modello a seconda dell'epsilon e delta).

Contorno

In questa sessione di laboratorio, mitigherai i rischi per la privacy dei modelli di IA. Nello specifico, gli studenti svilupperanno due tecniche di mitigazione:

  1. Difesa 1: generare dati sintetici con le garanzie di Privacy differenziale e controllo
    • quanto la qualità del modello si degrada se i dati sintetici che preservano la privacy vengono utilizzati per addestrare il modello invece dei dati originali (a seconda del parametro privacy epsilon)
    • se l'allenamento sui dati sintetici invece di quello originale impedisce l'attacco di inferenza di appartenenza e attributo
  2. Difesa 2: addestrare il modello con garanzie di privacy differenziali, e controllare
    • quanto la qualità del modello si degrada se il modello che preserva la privacy viene utilizzato al posto del modello originale per la previsione (a seconda del parametro privacy epsilon)
    • se il modello di tutela della privacy impedisce l'attacco all'adesione
    • come cambia l'accuratezza del modello di conservazione della privacy rispetto a Defense 1

Gli studenti formeranno gruppi di due e lavoreranno come squadra. Un gruppo deve consegnare una sola documentazione/soluzione.

Riconoscimenti

Il programma Human-Centered AI Masters è stato co-finanziato dal meccanismo per collegare l'Europa dell'Unione europea nell'ambito della sovvenzione CEF-TC-2020-1 Digital Skills 2020-EU-IA-0068.