Upravne informacije
| Naslov | Članstvo in atributi Napadi na modele strojnega učenja |
| Trajanje | 90 min |
| Modul | B |
| Vrsta lekcije | Praktična |
| Osredotočenost | Etična – zaupanja vredna umetna inteligenca |
| Tema | Napadi na zasebnost pri strojnem učenju |
Ključne besede
Revizija, Zasebnost strojnega učenja, Preskus sklepanja članstva, Atribute Inference Test,
Učni cilji
- Izboljšanje praktičnih znanj in spretnosti pri revidiranju jamstev glede zasebnosti (in zaupnosti) strojnega učenja
- Kako uporabiti napade članstva in atribute napadov sklepanja za ML revizijo zasebnosti
Pričakovana priprava
Učenje Dogodki, ki jih je treba dokončati pred
- Predavanje: Zasebnost in strojno učenje
- Predavanje: Uvod v zasebnost in tveganje
- Predavanje: Vrednotenje modela
- Predavanje: Sklepanje in predvidevanje
- Predavanje: Opremljanje in optimizacija modela
- Praktično: Opremljanje in optimizacija modela
- Predavanje: Priprava in raziskovanje podatkov
- Praktično: Priprava in raziskovanje podatkov
- Predavanje: Nevronske mreže
- Predavanje: Zasebnost
Obvezno za študente
- Python
- Škarje
- Pande
- UMETNOST
- virtualni env
- Napadi članstva
- Atribut sklepanja
- Vrednotenje modela
Neobvezno za študente
Nobenega.
Reference in ozadje za študente
- Pregled zasebnosti pri strojnem učenju
- Zasebnost podatkov in zaupanja vredno strojno učenje
- Sklepanje o napadih na modele strojnega učenja
- Celovita analiza zasebnosti globokega učenja: Pasivni in aktivni napadi na centralizirano in združeno učenje
- Pridobivanje podatkov o usposabljanju iz velikih jezikovnih modelov
- Strojno učenje z zasebnostjo članstva z uporabo kontradiktorne ureditve
- Skrivni sodelavec: Ocenjevanje in testiranje nenamernega pomnjenja v nevronskih mrežah
Priporočeno za učitelje
Gradivo za učne ure
Navodila za učitelje
Ta laboratorijska vaja je namenjena razvoju praktičnih spretnosti študentov revidiranja jamstev za zasebnost modelov strojnega učenja. Študenti morajo razumeti, da napadi članstva predpostavljajo poznavanje ciljnega vzorca, ki ga je treba preskusiti, kar ni vedno izvedljivo. Kljub temu lahko uspeh sklepanja o članstvu v prihodnosti predvideva resnejše uhajanje zasebnosti.
Modeli strojnega učenja so pogosto usposobljeni za zaupne (ali osebne, občutljive) podatke. Na primer, tak model lahko predvidi plačo posameznika iz njegovih drugih lastnosti (kot so izobrazba, življenjski prostor, rasa, spol itd.). Pogosto napačno prepričanje je, da se taki modeli ne štejejo za osebne podatke, tudi če so njihovi podatki o usposabljanju osebni (dejansko so lahko podatki o usposabljanju zbiranje evidenc o posameznikih), saj se izračunajo iz zbirnih informacij, pridobljenih iz občutljivih podatkov o usposabljanju (npr. povprečje gradientov v nevronskih mrežah ali entropija/število oznak v naključnih gozdovih). Cilj te laboratorijske seje je pokazati, da se modeli strojnega učenja lahko obravnavajo kot osebni podatki, zato je zelo verjetno, da bo njihova obdelava v številnih državah urejena (npr. s Splošno uredbo o varstvu podatkov v Evropi). Študenti bodo načrtovali napade zasebnosti, da bi preverili, ali usposobljeni modeli puščajo informacije o svojih podatkih o usposabljanju, in tudi ublažili te napade. Na primer, napadi na podlagi sklepanja o članstvu so namenjeni odkrivanju prisotnosti določenega vzorca v podatkih o usposabljanju ciljnega modela iz modelov in/ali njegovih rezultatov. Napadi bele škatle lahko dostopajo do usposobljenih modelov (vključno z njegovimi parametri) in rezultatov modela (tj. njegovih napovedi), medtem ko lahko modeli črne škatle dostopajo le do napovedi modela za dani vzorec. Atributni napadi sklepanja so namenjeni napovedovanju manjkajočega občutljivega atributa iz izhoda modela strojnega učenja, ki je usposobljen za vse druge atribute.
Nadaljnji učni dogodek je namenjen blažitvi teh groženj: Praktično: Uporaba in vrednotenje tehnik za ohranjanje zasebnosti
Obris
V tej laboratorijski seji boste izmerili tveganja za zasebnost modelov umetne inteligence in ublažili napade. Študenti bodoše posebej
- usposabljanje modela strojnega učenja (Random Forest) na naboru podatkov za odrasle za napoved atributa binarnega dohodka v naboru podatkov
- izmerite tveganja za zasebnost tako, da sprožite napad s članstvom na usposobljenem modelu, da preverite, ali je prisotnost katerega koli posameznika v podatkih o usposabljanju mogoče zaznati samo iz napovedi modela (napad črne škatle)
- napad atributa zagona na usposobljenem modelu, da se preveri, ali je mogoče manjkajoči (občutljiv) atribut izpeljati iz nekaterih pomožnih podatkov, ki so podobni prvotnim podatkom in izhodu usposobljenega modela (napad črnega polja)
Učenci bodo sestavljali dve skupini in delali kot ekipa. Ena skupina mora predložiti samo eno dokumentacijo/rešitev.
Priznanja
Program Masters umetne inteligence, ki je bil vključen v človeka, je bil sofinanciran z instrumentom za povezovanje Evrope Evropske unije v okviru nepovratnih sredstev (CEF-TC-2020–1 Digital Skills 2020-EU-IA-0068).