Hallinnolliset tiedot
| Otsikko | Jäsenyys ja syyllisyys hyökkäyksiin koneoppimisen malleissa |
| Kesto | 90 min |
| Moduuli | B |
| Oppitunnin tyyppi | Käytännöllinen |
| Keskittyminen | Eettinen – luotettava tekoäly |
| Aihe | Yksityisyyteen kohdistuvat hyökkäykset koneoppimiseen |
Avainsanoja
Auditointi, Koneoppimisen yksityisyys, Jäsenyyden johtopäätöstesti, Attribute inference test,
Oppimistavoitteet
- Parantaa koneoppimisen yksityisyyttä (ja luottamuksellisuutta) koskevien takeiden tarkastamiseen liittyviä käytännön taitoja
- Kuinka soveltaa jäsenhyökkäyksiä ja määritä päätelmähyökkäyksiä ML-tietosuojatarkastukseen
Odotettu valmistelu
Oppimistapahtumat valmistuvat ennen
- Luento: Yksityisyys ja koneoppiminen
- Luento: Johdanto yksityisyyteen ja riskeihin
- Luento: Mallin arviointi
- Luento: Johtopäätökset ja ennusteet
- Luento: Mallin asennus ja optimointi
- Käytännönläheinen: Mallin asennus ja optimointi
- Luento: Tietojen valmistelu ja tutkiminen
- Käytännönläheinen: Tietojen valmistelu ja tutkiminen
- Luento: Hermoverkot
- Luento: Yksityisyys
Pakollinen opiskelijoille
- Python
- Scikit
- Pandat
- TAIDE
- Virtual-env
- Jäsenyyttä koskevat hyökkäykset
- Attribuuttipäätelmä
- Mallin arviointi
Valinnainen opiskelijoille
Ei mitään.
Referenssejä ja taustaa opiskelijoille
- Yleiskatsaus yksityisyyteen koneoppimisessa
- Tietosuoja ja luotettava koneoppiminen
- Jäsenyyden johtopäätökset koneoppimismalleja vastaan
- Syväoppimisen kattava tietosuoja-analyysi: Passiiviset ja aktiiviset valkoisen laatikon päättelyhyökkäykset keskitettyä ja federoitua oppimista vastaan
- Koulutustietojen poimiminen suurista kielimalleista
- Koneoppiminen jäsenyksityisyydellä kontradiktorisen laillistamisen avulla
- Salainen jakaja: Neuroverkoissa tapahtuvan tahattoman muistin arviointi ja testaaminen
Suositellaan opettajille
Oppituntimateriaalit
Ohjeita opettajille
Tämän laboratorioharjoituksen tavoitteena on kehittää opiskelijoiden käytännön taitoja tarkastaa koneoppimisen mallien tietosuojatakuita. Opiskelijan tulisi ymmärtää, että jäsenyyshyökkäykset edellyttävät, että kohdenäytteen tuntemusta testataan, mikä ei aina ole mahdollista. Jäsenyyden onnistuminen voi kuitenkin ennakoida vakavampia yksityisyyden vuotoja tulevaisuudessa.
Koneoppimismalleja koulutetaan usein luottamuksellisiin (tai henkilökohtaisiin, arkaluonteisiin) tietoihin. Tällainen malli voi esimerkiksi ennustaa yksilön palkan muista ominaisuuksistaan (kuten koulutuksesta, asuinpaikasta, rodusta, sukupuolesta jne.). Yleinen väärinkäsitys on, että tällaisia malleja ei pidetä henkilötietoina, vaikka niiden koulutustiedot olisivatkin henkilökohtaisia (koulutustiedot voivat olla yksilötietojen keräämistä), koska ne on laskettu arkaluonteisista koulutustiedoista (esim. hermoverkostojen kaltevuuden keskiarvo tai entropia/tarrojen lukumäärä satunnaisissa metsissä) saaduista koostetuista tiedoista. Tämän laboratorioistunnon tavoitteena on osoittaa, että koneoppimismalleja voidaan pitää henkilötietoina, minkä vuoksi niiden käsittelyä säännellään hyvin todennäköisesti monissa maissa (esim. yleisessä tietosuoja-asetuksessa Euroopassa). Opiskelijat suunnittelevat tietosuojahyökkäyksiä testatakseen, jos koulutetut mallit vuotavat tietoja sen koulutustiedoista, ja myös lieventävät näitä hyökkäyksiä. Esimerkiksi jäsenyyden päätelmähyökkäyksillä pyritään havaitsemaan tietyn näytteen esiintyminen kohdemallin koulutustiedoissa malleista ja/tai sen tuloksista. Valkoisen laatikon hyökkäykset voivat käyttää sekä koulutettuja malleja (mukaan lukien sen parametrit) että mallin tuotosta (eli sen ennusteita), kun taas mustan laatikon malleilla on pääsy vain tietyn näytteen mallin ennusteisiin. Attribuuttipäätehyökkäykset pyrkivät ennustamaan puuttuvan herkän ominaisuuden koneoppimismallin tuotoksesta, joka on koulutettu sekä kaikki muut ominaisuudet.
Jatko-oppimistapahtumassa pyritään lieventämään näitä uhkia: Käytännönläheinen: Yksityisyyden suojaavien tekniikoiden soveltaminen ja arviointi
Hahmotella
Tässä laboratorioistunnossa mittaat tekoälymallien tietosuojariskejä ja lievennät hyökkäyksiä. Erityisesti opiskelijat
- kouluta koneoppimismalli (Random Forest) aikuisten tietoaineistosta ennustamaan binääritulo-attribuutti tietoaineistossa
- mittaa yksityisyyteen liittyviä riskejä käynnistämällä jäsenhyökkäys koulutettua mallia vastaan sen tarkistamiseksi, voidaanko jonkun henkilön läsnäolo koulutustiedoissa havaita vain mallin ennusteesta (musta laatikkohyökkäys)
- käynnistä attribuuttihyökkäys koulutettua mallia vastaan tarkistaaksesi, voidaanko puuttuva (herkkä) attribuutti päätellä joistakin lisätiedoista, jotka muistuttavat alkuperäisiä tietoja ja koulutetun mallin tuotosta (black-box-hyökkäys)
Opiskelijat muodostavat kahden hengen ryhmiä ja työskentelevät tiiminä. Yhden ryhmän on toimitettava vain yksi dokumentaatio/ratkaisu.
Tunnustukset
Human-Centered AI Masters -ohjelmaa rahoitettiin Euroopan unionin Verkkojen Eurooppa -välineestä (CEF-TC-2020–1 Digital Skills 2020-EU-IA-0068).