Administrativne informacije
Naslov | Članstvo i atributi napada na modele strojnog učenja |
Trajanje | 90 min |
Modul | B |
Vrsta lekcija | Praktičan |
Fokus | Etika – pouzdana umjetna inteligencija |
Tema | Napadi na strojno učenje |
Ključne riječi
Revizija, Privatnost strojnog učenja, test zaključaka o članstvu, test za zaključak o atributu,
Ciljevi učenja
- Poboljšanje praktičnih vještina revizije jamstava strojnog učenja u pogledu privatnosti (i povjerljivosti)
- Kako primijeniti napade članstva i atributirati napade zaključaka za ML reviziju privatnosti
Očekivana priprema
Edukativni događaji koji će biti završeni prije
- Predavanje: Privatnost i strojno učenje
- Predavanje: Uvod u privatnost i rizik
- Predavanje: Procjena modela
- Predavanje: Zaključak i predviđanje
- Predavanje: Model montaže i optimizacije
- Praktično: Model montaže i optimizacije
- Predavanje: Priprema i istraživanje podataka
- Praktično: Priprema i istraživanje podataka
- Predavanje: Neuronske mreže
- Predavanje: Privatnost
Obvezno za studente
- Python
- Scikit
- Pande
- UMJETNOST
- virtualni env
- Napadi na članstvo
- Zaključak o svojstvima
- Procjena modela
Neobvezno za studente
Nijedan.
Preporuke i pozadina za studente
- Pregled privatnosti u strojnom učenju
- Privatnost podataka i pouzdano strojno učenje
- Napadi zaključaka o članstvu na modele strojnog učenja
- Sveobuhvatna analiza privatnosti dubokog učenja: Pasivni i aktivni napadi na centralizirano i udruženo učenje
- Izdvajanje podataka o osposobljavanju iz velikih jezičnih modela
- Strojno učenje uz privatnost članstva pomoću kontradiktorne regularizacije
- Tajni razdjelnik: Procjena i testiranje nenamjernog pamćenja u neuronskim mrežama
Preporučeno nastavnicima
Nastavni materijali
Upute za učitelje
Cilj je ove laboratorijske vježbe razviti praktične vještine studenata revizije jamstava privatnosti modela strojnog učenja. Studenti bi trebali razumjeti da napadi članstva pretpostavljaju da će se testirati znanje o ciljnom uzorku, što nije uvijek izvedivo. Ipak, uspjeh zaključaka o članstvu može predvidjeti ozbiljnije curenje privatnosti u budućnosti.
Modeli strojnog učenja često se obučavaju na povjerljivim (ili osobnim, osjetljivim) podacima. Na primjer, takav model može predvidjeti plaću pojedinca iz drugih atributa (kao što su obrazovanje, mjesto stanovanja, rasa, spol itd.). Uobičajena je zabluda da se takvi modeli ne smatraju osobnim podacima čak i ako su njihovi podaci o osposobljavanju osobni (doista, podaci o osposobljavanju mogu biti prikupljanje zapisa o pojedincima) jer se izračunavaju iz agregiranih informacija dobivenih iz osjetljivih podataka o osposobljavanju (npr. prosjek gradijenta u neuronskim mrežama ili entropija/broj oznaka u nasumičnim šumama). Cilj ove laboratorijske sesije je pokazati da se modeli strojnog učenja mogu smatrati osobnim podacima i stoga je vrlo vjerojatno da će se njihova obrada regulirati u mnogim zemljama (npr. GDPR-om u Europi). Studenti će osmisliti napade privatnosti kako bi testirali propuštaju li obučeni modeli informacije o svojim podacima za obuku i također ublažili te napade. Na primjer, napadi zaključaka o članstvu imaju za cilj otkriti prisutnost određenog uzorka u podacima za obuku ciljnog modela iz modela i/ili njegovih rezultata. Napadi bijele kutije mogu pristupiti i obučenim modelima (uključujući njegove parametre) i izlazu modela (tj. njegovim predviđanjima), dok modeli crne kutije mogu pristupiti samo predviđanjima modela za određeni uzorak. Napadi zaključaka o atributima imaju za cilj predvidjeti nedostatak osjetljivog atributa iz izlaza modela strojnog učenja koji je treniran, kao i svih ostalih atributa.
Nastavno događanje posvećeno je ublažavanju tih prijetnji: Praktično: Primjena i ocjenjivanje tehnika očuvanja privatnosti
Nacrt
U ovoj laboratorijskoj sesiji mjerit ćete rizike privatnosti za modele umjetne inteligencije i ublažiti napade. Konkretno, studenti će
- obučiti model strojnog učenja (Random Forest) na skupu podataka za odrasle kako bi se predvidio binarni atribut dohotka u skupu podataka
- mjerite rizike za privatnost pokretanjem napada članstva na obučeni model kako bi se provjerilo može li se prisutnost bilo koje osobe u podacima za obuku otkriti samo predviđanjem modela (napad u crnoj kutiji)
- napad izvođenja atributa na uvježbani model kako bi se provjerilo može li se nedostatak (osjetljivog) atributa izvesti iz nekih pomoćnih podataka koji nalikuju izvornim podacima i izlazu iz obučenog modela (napad u crnoj kutiji)
Učenici će formirati dvije skupine i raditi kao tim. Jedna skupina mora predati samo jednu dokumentaciju/rješenje.
Priznanja
Diplomski studij umjetne inteligencije usmjeren na čovjeka sufinanciran je Instrumentom za povezivanje Europe Europske unije u okviru bespovratnih sredstava CEF-TC-2020 – 1 Digital Skills 2020-EU-IA-0068.