Denetimler, modellerin eğitim sırasında kullanılan etiketlerin bazı kısımlarını (kullanıcının seçimi, ifade edilen tercihi veya bir eylemin sonucu) ortaya çıkarabildiğini gösterdiğinden, makine öğrenimi (ML) gizlilik endişeleri yüzeye çıkmaya devam ediyor. Yeni bir araştırma makalesi, bu riski ölçmenin farklı bir yolunu araştırıyor ve yazarlar, şirketlerin modellerini sızıntılara karşı test etme şeklini değiştirebilecek bulgular sunuyor.
Standart denetimlerin kullanılması neden zor?
Daha eski gizlilik denetimleri genellikle eğitim verilerinin değiştirilmesine dayanıyordu. Araştırmacılar tarafından kullanılan yaygın bir taktik, test uzmanlarının modelin bunları ezberleyip ezberlemediğini görebilmesi için veri setine eklenen yapay kayıtlar olan kanaryaları eklemekti. Test sırasında bir kanarya ortaya çıkarsa bu, modelin bilgileri sızdırabilecek şekilde sakladığının sinyalini veriyordu.
Bu taktik gizlilik sorunlarını ortaya çıkardı ancak operasyonel sorunlar yarattı. Eğitim ardışık düzenlerinin katı kuralları vardır ve herhangi bir veri kümesi değişikliği, ekstra inceleme adımlarına yol açabilir. Çalışma, önceki denetim kurulumlarının önemli miktarda mühendislik yükü getirdiğini ve bunun da büyük sistemlerin benimsenmesini yavaşlattığını belirtiyor.
Yeni gözlemsel denetim çerçevesi bu engeli ortadan kaldırmayı amaçlıyor.
Araştırmacılar, “Yaklaşımımız, gizlilik denetiminin karmaşıklığını azaltarak bunun daha geniş çeşitlilikte bağlamlarda uygulanmasına olanak tanıyor” dedi.
Eğitim verilerine dokunmadan çalışır, bu da onu her test için ayarlanamayan işlem hatları için daha uygun hale getirir.
Gözlemsel denetim çerçevesi nasıl çalışır?
Gözlemsel denetim çerçevesi, modelin davranışının hangi etiketlerin eğitimden, hangilerinin alternatif kaynaklardan geldiğini ortaya çıkarıp çıkarmadığını kontrol eder.
Eğitilen model karışık etiketleri görmez. Karma veri seti eğitimden sonra yalnızca denetçiye verilir. Testi gerçekleştirmek için denetçi iki tür etiketle çalışır. Bazıları orijinal eğitim sürecinden gelir. Diğerleri aynı veriler için alternatif etiketler üreten bir proxy modelinden gelir.
Test, saldırgana bu etiketlerin bir karışımını vererek çalışır. Saldırgan hangi kayıtların eğitim etiketlerini sakladığını tahmin etmeye çalışır. Model etiket bilgilerini sızdırırsa saldırgan şanstan çok daha başarılı olur. Daha güçlü gizlilik önlemleri bu sinyali azaltır.
Çalışma, proxy modelinin eğitim etiketleriyle tam olarak eşleşmesi gerekmediğini belirtiyor. Saldırganın iki kaynağı kolayca ayıramayacağı kadar yakın olması yeterlidir. Makalede, aynı modelin daha önceki bir kontrol noktasının proxy etiket kaynağı olarak hizmet verebileceği ve bunun da ekstra eğitim adımlarını ortadan kaldırdığı açıklanmaktadır.
Saldırgan işini bitirdiğinde denetim, saldırganın puanını bir gizlilik önlemine dönüştürür. Bu, daha önceki gizlilik denetimlerinde kullanılan stili takip eder ve sonuçları farklı yöntemler arasında karşılaştırmayı mümkün kılar.
Araştırmacılar ne buldu?
Yazarlar denetimlerini iki farklı veri kümesi üzerinde test ettiler. Bunlardan biri araştırmada kullanılan küçük bir resim koleksiyonuydu. Diğeri ise yirmi dört gün boyunca toplanan büyük bir tıklama veri kümesiydi. Bu, ekibin, yöntemin farklı şekil ve boyutlara sahip görevlerde istikrarlı bir şekilde davranıp davranmadığını görmesine olanak sağladı.
Her iki veri kümesinde de bir model öne çıktı. Modeller daha sıkı etiket gizlilik ayarlarıyla eğitildiğinde denetçi hangi kayıtların orijinal etiketlerini koruduğunu söylemekte zorlandı. Bu, gizlilik araçlarının amaçlandığı gibi çalıştığının sinyalini verdi.
Gizlilik ayarları gevşek olduğunda denetçinin işi kolaylaştı. Model, gizlilik ayarlarının sınırlaması gereken kalıpları etiketlemeye devam etti ve denetçi bunları çok daha güvenle anlayabildi. Sıkı ve gevşek ayarlar arasındaki fark her testte ortaya çıktı.
Asıl nokta, bu davranışın görevler arasında ne kadar istikrarlı olduğudur. Daha sıkı ayarlar, tüm deneylerde etiket sızıntısını düşük tuttu. Daha gevşek ayarlar, denetçinin eğitim etiketleriyle bağlantılı sinyalleri tespit etmesini kolaylaştırdı.
Çalışma ayrıca bu yeni denetimi, eğitim veri setine kayıtların yerleştirilmesini gerektiren eski bir yöntemle karşılaştırdı. Her iki yaklaşım da aynı türden gizlilik sorunlarını ortaya çıkardı. Yazarlar bunu, gözlemsel denetimin, eğitim verilerini değiştirmeden veya ekstra modeller oluşturmadan bu sorunları ortaya çıkarabileceğinin kanıtı olarak sunuyor.