研究人員通過水印保護AI的知識產(chǎn)權(quán)
最近大家都在討論研究人員通過水印保護AI的知識產(chǎn)權(quán)相關(guān)的事情,對此小編也是非常的感應興趣,那么這件事具體又是怎么回事呢?下面就是小編搜索到的關(guān)于研究人員通過水印保護AI的知識產(chǎn)權(quán)事件的相關(guān)信息,我們一起來看看吧!
(資料圖)
最近研究人員通過水印保護AI的知識產(chǎn)權(quán) 這個話題,相信很多小伙伴都是非常有興趣了解的吧,一段好的故事可以給讀者帶來很多值得深思的新東西,甚至還可以在一定程度上讓讀者的視野在瞬間擴大,那么既然現(xiàn)在大家都想要知道此類的信息,今日小編將給帶來關(guān)于研究人員通過水印保護AI的知識產(chǎn)權(quán) 的資訊!
如果我們可以使用數(shù)字水印保護視頻,音頻和照片,那為什么不使用AI模型呢?
這是我和我的同事在尋求開辟一種技術(shù)以確保開辟人員確保他們在構(gòu)建AI(例如深度學習模型)方面的辛勤工作時可以受到保護的問題。您可能會想,“受什么保護?” 好吧,例如,如果您的AI 模型被盜用或濫用于惡意目的,例如提供基于被盜模型的pla竊服務(wù),該怎么辦?這是一個問題,特殊是對于像IBM這樣的AI領(lǐng)導者。
本月初,我們在大韓民國仁川舉行的AsiaCCS "18大會上介紹了我們的研究,我們很自豪地說,我們?yōu)閼獙@一挑戰(zhàn)而采納的綜合評估技術(shù)被證明是高效而強大的。我們的主要創(chuàng)新在于,我們的概念可以使用簡單的API查詢來遠程驗證深度神經(jīng)網(wǎng)絡(luò)(DNN)服務(wù)的所有權(quán)。
隨著深度學習模型的廣泛部署和越來越有價值,對手越來越多地將其作為目標。我們的想法正在申請專利,它的靈感來自用于視頻和照片等多媒體內(nèi)容的流行水印技術(shù)。
給照片加水印時,有兩個階段:嵌入和檢測。在嵌入階段,所有者可以在照片(或人類可見的水印)上覆蓋“ COPYRIGHT”一詞,如果該照片被他人盜用并被他人使用,我們會在檢測階段進行確認,以便所有者可以提取水印作為法律依據(jù)證明所有權(quán)。相同的想法可以應用于DNN。
通過將水印嵌入DNN模型中(如果它們被盜),我們可以通過從模型中提取水印來驗證所有權(quán)。但是,不同于將水印嵌入多媒體內(nèi)容的數(shù)字水印,我們需要設(shè)計一種將水印嵌入DNN模型的新方法。
在本文中,我們描述了一種將水印注入DNN模型的方法,并設(shè)計了一種遠程驗證機制,以通過使用API??調(diào)用來確定DNN模型的所有權(quán)。
我們開辟了三種水印生成算法來為DNN模型生成不同類型的水印:
將故意義的內(nèi)容與原始訓練數(shù)據(jù)一起作為水印嵌入受保護的DNN中,
將不相關(guān)的數(shù)據(jù)樣本作為水印嵌入受保護的DNN中,并且
將噪聲作為水印嵌入受保護的DNN中。
為了測試水印框架,我們使用了兩個公共數(shù)據(jù)集:MNIST(手寫數(shù)字識別數(shù)據(jù)集,具有60,000個訓練圖像和10,000個測試圖像)和CIFAR10(具有50,000個訓練圖像和10,000個測試圖像的對象分類數(shù)據(jù)集)。
運行實驗非常簡單:我們只需為DNN提供經(jīng)過精心設(shè)計的圖片,如果模型被加水印,就會觸發(fā)意想不到但可控的響應。這不是第一次考慮加水印,但是以前的概念由于需要訪問模型參數(shù)而受到限制。但是,在現(xiàn)實世界中,被盜模型通常是遠程部署的,the竊的服務(wù)不會公開被盜模型的參數(shù)。此外,DNN模型中嵌入的水印對不同的反水印機制(例如微調(diào),參數(shù)修剪和模型反演攻擊)具有魯棒性和彈性。
,,我們的框架確實有一些局限性。如果泄漏的模型未部署為在線服務(wù)而是用作內(nèi)部服務(wù),則我們將無法檢測到任何盜竊,但是then竊者固然不能直接通過被盜模型獲利。
此外,我們當前的水印框架無法保護DNN模型免于通過預測API被盜,從而攻擊者可以利用查詢訪問和結(jié)果之間的機密性來學習機器學習模型的參數(shù)。但是,僅在具有較少模型參數(shù)(例如決策樹和邏輯回歸)的常規(guī)機器學習算法中,證明這種攻擊在實踐中可以很好地發(fā)揮作用。
我們目前正在尋求在IBM內(nèi)部進行部署,并探究如何將該技術(shù)作為服務(wù)提供給客戶。
關(guān)鍵詞: