Administratívne informácie
| Názov | Členstvo a pripisovanie útokov na modely strojového učenia |
| Trvanie | 90 minút |
| Modul | B |
| Druh lekcie | Praktické |
| Zameranie | Etika – dôveryhodná umelá inteligencia |
| Téma | Útoky na súkromie na strojové učenie |
Kľúčové slová
Audit, Súkromie strojového učenia, Inferenčný test členstva, Attribute Inference Test,
Vzdelávacie ciele
- Zlepšiť praktické zručnosti v oblasti kontroly ochrany súkromia (a dôvernosti) záruk strojového učenia
- Ako aplikovať členstvo útoky a atribút inference útoky pre ML Privacy Auditing
Očakávaná príprava
Naučte sa udalosti, ktoré treba dokončiť predtým
- Prednáška: Súkromie a strojové učenie
- Prednáška: Úvod do súkromia a rizika
- Prednáška: Modelové hodnotenie
- Prednáška: Vyvodenie a predpoveď
- Prednáška: Modelová montáž a optimalizácia
- Praktické: Modelová montáž a optimalizácia
- Prednáška: Príprava a prieskum údajov
- Praktické: Príprava a prieskum údajov
- Prednáška: Neurónové siete
- Prednáška: Súkromie
Povinné pre študentov
- Python
- Scikit
- Pandy
- UMENIE
- virtuálna env
- Útoky na členstvo
- Odvodenie atribútu
- Hodnotenie modelu
Voliteľné pre študentov
Žiadne.
Referencie a zázemie pre študentov
- Prehľad súkromia v strojovom učení
- Ochrana osobných údajov a dôveryhodné strojové učenie
- Účastnícke útoky proti modelom strojového učenia
- Komplexná analýza súkromia hĺbkového učenia: Pasívne a aktívne inferenčné útoky bielej skrinky proti centralizovanému a federovanému učeniu
- Extrahovanie tréningových dát z veľkých jazykových modelov
- Strojové učenie so súkromím členstva pomocou kontradiktórnej regularizácie
- Tajný spoločník: Hodnotenie a testovanie neúmyselného zapamätania v neurónových sieťach
Odporúčané pre učiteľov
Učebné materiály
Pokyny pre učiteľov
Cieľom tohto laboratórneho cvičenia je rozvíjať praktické zručnosti študentov auditu záruk ochrany súkromia modelov strojového učenia. Študenti by mali pochopiť, že útoky členstva predpokladajú znalosť cieľovej vzorky, ktorá sa má testovať, čo nie je vždy uskutočniteľné. Napriek tomu môže úspech vyvodzovania členstva predvídať vážnejšie úniky súkromia v budúcnosti.
Modely strojového učenia sú často vyškolené na dôverné (alebo osobné, citlivé) údaje. Napríklad takýto model môže predpovedať plat jednotlivca z jeho iných atribútov (ako je vzdelanie, životné miesto, rasa, pohlavie atď.). Bežnou mylnou predstavou je, že takéto modely sa nepovažujú za osobné údaje, aj keď sú ich školiace údaje osobné (v skutočnosti, školiace údaje môžu byť zberom záznamov o jednotlivcoch), keďže sa počítajú zo súhrnných informácií odvodených z citlivých trénovacích údajov (napr. priemer gradientov v neurónových sieťach alebo entropia/počet etikety v náhodných lesoch). Cieľom tohto laboratórneho stretnutia je ukázať, že modely strojového učenia možno považovať za osobné údaje, a preto je veľmi pravdepodobné, že ich spracovanie bude regulované v mnohých krajinách (napr. prostredníctvom všeobecného nariadenia o ochrane údajov v Európe). Študenti navrhnú útoky na ochranu súkromia, aby otestovali, či vyškolené modely unikajú informácie o svojich tréningových údajoch, a tiež zmiernia tieto útoky. Cieľom útokov vyplývajúcich z členstva je napríklad odhaliť prítomnosť danej vzorky v tréningových údajoch cieľového modelu z modelov a/alebo jeho výstupu. Útoky White-box majú prístup k trénovaným modelom (vrátane jeho parametrov) aj k výstupu modelu (t. j. k jeho predpovediam), zatiaľ čo modely čiernej skrinky majú prístup len k predpovediam modelu pre danú vzorku. Cieľom útokov na odvodenie atribútov je predpovedať chýbajúci citlivý atribút z výstupu modelu strojového učenia, ktorý je trénovaný, ako aj všetky ostatné atribúty.
Nadväzujúca vzdelávacia udalosť je zameraná na zmiernenie týchto hrozieb: Praktické: Uplatňovanie a hodnotenie techník na zachovanie súkromia
Obrysy
V tejto laboratórnej relácii budete merať riziká ochrany súkromia pre modely umelej inteligencie a tiež zmierniť útoky. Konkrétne, študenti budú
- trénujte model strojového učenia (Random Forest) na súbore údajov pre dospelých na predpovedanie atribútu binárneho príjmu v súbore údajov
- zmerať riziká v oblasti ochrany súkromia tým, že spustíte útok na vyškolený model, aby ste skontrolovali, či prítomnosť akejkoľvek osoby v tréningových údajoch môže byť zistená len z predikcie modelu (útok čiernej skrinky)
- inferenčný útok na vyškolený model, aby sa zistilo, či chýbajúci (citlivý) atribút možno odvodiť z niektorých pomocných údajov pripomínajúcich pôvodné údaje a výstup vyškoleného modelu (útok čiernej schránky)
Študenti budú tvoriť dve skupiny a pracovať ako tím. Jedna skupina musí predložiť len jednu dokumentáciu/riešenie.
Uznania
Program Masters umelej inteligencie zameraný na človeka bol spolufinancovaný z Nástroja Európskej únie na prepájanie Európy v rámci grantu CEF-TC-2020 – 1 Digitálne zručnosti 2020-EU-IA-0068.