Informacje administracyjne
| Tytuł | Członkostwo i atrybuty ataków na modele uczenia maszynowego |
| Czas trwania | 90 min |
| Moduł | B |
| Rodzaj lekcji | Praktyczne |
| Skupienie | Etyczne – godne zaufania AI |
| Temat | Ataki prywatności na uczenie maszynowe |
Słowa kluczowe
Audyt, prywatność uczenia maszynowego, test wnioskowania członkostwa, test wnioskowania atrybutu,
Cele w zakresie uczenia się
- Poprawa praktycznych umiejętności w zakresie kontroli prywatności (i poufności) gwarancji uczenia maszynowego
- Jak zastosować ataki członkowskie i ataki wnioskowania atrybutów do audytu prywatności ML
Oczekiwane przygotowanie
Wydarzenia edukacyjne, które należy ukończyć przed
- Wykład: Prywatność i uczenie maszynowe
- Wykład: Wprowadzenie do prywatności i ryzyka
- Wykład: Ocena modelu
- Wykład: Wnioskowanie i przewidywanie
- Wykład: Mocowanie i optymalizacja modelu
- Praktyczne: Mocowanie i optymalizacja modelu
- Wykład: Przygotowanie i eksploracja danych
- Praktyczne: Przygotowanie i eksploracja danych
- Wykład: Sieci neuronowe
- Wykład: Prywatność
Obowiązkowe dla studentów
- Pythona
- Scikit
- Pandy
- SZTUKA
- wirtualna sieć
- Ataki członkowskie
- Wnioskowanie atrybutu
- Ocena modelu
Opcjonalne dla studentów
Brak.
Referencje i tło dla studentów
- Przegląd prywatności w uczeniu maszynowym
- Prywatność danych i godne zaufania uczenie maszynowe
- Ataki wnioskowania o członkostwo przeciwko modelom uczenia maszynowego
- Kompleksowa analiza prywatności głębokiego uczenia się: Pasywne i aktywne ataki typu white-box przeciwko scentralizowanemu i federacyjnemu uczeniu się
- Pobieranie danych szkoleniowych z dużych modeli językowych
- Uczenie maszynowe z prywatnością członkostwa za pomocą kontradyktoryjnego uregulowania
- Tajny współdzielacz: Ocena i testowanie niezamierzonego zapamiętywania w sieciach neuronowych
Zalecane dla nauczycieli
Materiały do lekcji
Instrukcje dla nauczycieli
To ćwiczenie laboratoryjne ma na celu rozwijanie praktycznych umiejętności studentów w zakresie audytu gwarancji prywatności modeli uczenia maszynowego. Studenci powinni zrozumieć, że ataki członkowskie zakładają, że wiedza o próbce docelowej zostanie przetestowana, co nie zawsze jest wykonalne. Mimo to powodzenie wniosków o członkostwo może przewidywać poważniejsze wycieki prywatności w przyszłości.
Modele uczenia maszynowego są często przeszkolone w zakresie poufnych (lub osobistych, wrażliwych) danych. Na przykład taki model może przewidzieć wynagrodzenie jednostki z innych jego atrybutów (takich jak edukacja, miejsce zamieszkania, rasa, płeć itp.). Powszechnym nieporozumieniem jest to, że takie modele nie są uważane za dane osobowe, nawet jeśli ich dane szkoleniowe są osobowe (w rzeczywistości dane szkoleniowe mogą być gromadzeniem zapisów dotyczących osób fizycznych), ponieważ są one obliczane na podstawie zagregowanych informacji pochodzących z wrażliwych danych szkoleniowych (np. średnia gradientów w sieciach neuronowych lub entropia/liczba etykiet w lasach losowych). Celem tej sesji laboratoryjnej jest pokazanie, że modele uczenia maszynowego mogą być traktowane jako dane osobowe i dlatego ich przetwarzanie jest bardzo prawdopodobne w wielu krajach (np. przez RODO w Europie). Studenci będą projektować ataki prywatności, aby przetestować, czy przeszkolone modele wyciekają informacje o swoich danych treningowych, a także łagodzą te ataki. Na przykład ataki wnioskowania o członkostwo mają na celu wykrycie obecności danej próbki w danych treningowych modelu docelowego z modeli i/lub jego wyników. Ataki White-box mają dostęp zarówno do przeszkolonych modeli (w tym jego parametrów), jak i do wyjścia modelu (tj. jego prognoz), podczas gdy modele czarnej skrzynki mają dostęp tylko do prognoz modelu dla danej próbki. Ataki wnioskowania atrybutów mają na celu przewidywanie brakującego atrybutu wrażliwego na podstawie wyników modelu uczenia maszynowego, który jest trenowany, a także wszystkich innych atrybutów.
Kolejnym wydarzeniem edukacyjnym jest złagodzenie tych zagrożeń: Praktyczne: Stosowanie i ocena technik ochrony prywatności
Zarys
Podczas tej sesji laboratoryjnej mierzysz zagrożenia prywatności modeli AI, a także łagodzisz ataki. W szczególności uczniowie będą
- trenuj model uczenia maszynowego (Random Forest) na zestawie danych dla dorosłych, aby przewidzieć binarny atrybut dochodu w zbiorze danych
- zmierzyć ryzyko związane z prywatnością, uruchamiając atak członkowski na przeszkolony model, aby sprawdzić, czy obecność jakiejkolwiek osoby w danych treningowych może zostać wykryta tylko po przewidywaniu modelu (atak w czarnej skrzynce)
- uruchom atak atrybutu na przeszkolonym modelu, aby sprawdzić, czy brakujący (wrażliwy) atrybut można wywnioskować z niektórych danych pomocniczych przypominających oryginalne dane i wyjście przeszkolonego modelu (atak w czarnej skrzynce)
Uczniowie będą tworzyć grupy dwuosobowe i pracować jako zespół. Jedna grupa musi przekazać tylko jedną dokumentację/rozwiązanie.
Potwierdzenia
Program Masters zorientowany na człowieka został współfinansowany przez instrument „Łącząc Europę” Unii Europejskiej w ramach grantu CEF-TC-2020-1 Umiejętności cyfrowe 2020-EU-IA-0068.