Derin öğrenme modelleri, sağlık teşhislerinden finansal tahminlere kadar çeşitli sektörlerde uygulamalar bulmuştur. Ancak, yüksek hesaplama talepleri genellikle güçlü bulut tabanlı sunucular gerektirir.
Bulut bilişime olan bu bağımlılık, özellikle sağlık hizmetleri gibi hassas sektörlerde önemli güvenlik endişeleri doğurmaktadır. Örneğin hastaneler, olası gizlilik riskleri nedeniyle gizli hasta verilerini analiz etmek için AI araçlarını benimsemeye isteksiz olabilir.
Bu acil sorunu ele almak için MIT araştırmacıları, derin öğrenme hesaplamaları sırasında bulut sunucusuna gönderilen ve bulut sunucusundan alınan verilerin güvenli kalmasını garantilemek için ışığın kuantum özelliklerinden yararlanan bir güvenlik protokolü geliştirdiler.
Protokol, fiber optik iletişim sistemlerinde kullanılan lazer ışığına veri kodlayarak kuantum mekaniğinin temel prensiplerinden yararlanıyor ve saldırganların tespit edilmeden bilgileri kopyalamasını veya ele geçirmesini imkansız hale getiriyor.
Ayrıca, teknik derin öğrenme modellerinin doğruluğundan ödün vermeden güvenliği garanti eder. Araştırmacı, testlerde protokollerinin sağlam güvenlik önlemlerini sağlarken %96 doğruluk sağlayabileceğini gösterdi.
“GPT-4 gibi derin öğrenme modelleri benzeri görülmemiş yeteneklere sahip ancak devasa hesaplama kaynakları gerektiriyor. Protokolümüz kullanıcıların bu güçlü modelleri, verilerinin gizliliğinden veya modellerin tescilli doğasından ödün vermeden kullanmalarını sağlıyor,” diyor MIT Elektronik Araştırma Laboratuvarı’nda (RLE) doktora sonrası araştırmacı ve bu güvenlik protokolü hakkında bir makalenin baş yazarı olan Kfir Sulimany.
Derin öğrenmede güvenlik için iki yönlü bir yol
Araştırmacıların odaklandığı bulut tabanlı hesaplama senaryosu, tıbbi görüntüler gibi gizli verilere sahip bir istemci ve derin öğrenme modelini kontrol eden merkezi bir sunucuyu içeriyor.
Müşteri, hastanın kanser olup olmadığını, hasta hakkında bilgi vermeden, tıbbi görüntülere dayanarak tahmin etmek için derin öğrenme modelini kullanmak istiyor.
Bu senaryoda, bir tahmin oluşturmak için hassas veriler gönderilmelidir. Ancak, hasta verileri işlem sırasında güvenli kalmalıdır.
Ayrıca sunucu, OpenAI gibi bir şirketin yıllarca ve milyonlarca dolar harcayarak inşa ettiği tescilli modelin bazı kısımlarını ifşa etmek istemiyor.
MIT’de doktora sonrası araştırmacı olarak çalışan Sri Krishna Vadlamani, “Her iki tarafın da gizlemek istediği bir şey var” diye ekliyor.
Dijital hesaplamada kötü niyetli bir aktör sunucudan veya istemciden gönderilen verileri kolayca kopyalayabilir.
Öte yandan kuantum bilgisi mükemmel bir şekilde kopyalanamaz. Araştırmacılar, klonlamama ilkesi olarak bilinen bu özelliği güvenlik protokollerinde kullanırlar.
Araştırmacıların protokolüne göre sunucu, derin bir sinir ağının ağırlıklarını lazer ışığı kullanarak optik bir alana kodluyor.
Sinir ağı, veriler üzerinde hesaplama yapan birbirine bağlı düğüm veya nöron katmanlarından oluşan derin öğrenme modelidir. Ağırlıklar, her girdide matematiksel işlemleri, her seferinde bir katman olmak üzere yapan modelin bileşenleridir. Bir katmanın çıktısı, son katman bir tahmin üretene kadar bir sonraki katmana beslenir.
Sunucu, ağın ağırlıklarını istemciye iletir, istemci de özel verilerine dayalı bir sonuç elde etmek için işlemleri uygular. Veriler sunucudan gizlenmiş olarak kalır.
Aynı zamanda güvenlik protokolü istemcinin yalnızca bir sonucu ölçmesine izin verir ve ışığın kuantum doğası nedeniyle istemcinin ağırlıkları kopyalamasını önler.
İstemci ilk sonucu bir sonraki katmana beslediğinde, protokol ilk katmanı iptal edecek şekilde tasarlanır, böylece istemci model hakkında başka hiçbir şey öğrenemez.
Sulimany, “Sunucudan gelen tüm ışığı ölçmek yerine, istemci yalnızca derin sinir ağını çalıştırmak ve sonucu bir sonraki katmana iletmek için gereken ışığı ölçer. Daha sonra istemci, güvenlik kontrolleri için kalan ışığı sunucuya geri gönderir” diye açıklıyor.
Klonlamama teoremi nedeniyle, istemci kaçınılmaz olarak sonucunu ölçerken modele küçük hatalar uygular. Sunucu istemciden kalan ışığı aldığında, sunucu herhangi bir bilginin sızdırılıp sızdırılmadığını belirlemek için bu hataları ölçebilir. Önemlisi, bu kalan ışığın istemci verilerini ortaya çıkarmadığı kanıtlanmıştır.
Pratik bir protokol
Modern telekomünikasyon sistemleri, uzun mesafelerde geniş bant genişliğini destekleme ihtiyacından kaynaklanan bilgi iletimi için öncelikle optik fiberlere güvenir. Bu sistemler zaten optik lazerler kullandığından, araştırmacılar güvenlik protokolleri için verileri sorunsuz bir şekilde ışığa kodlayabilir ve ek donanım ihtiyacını ortadan kaldırabilir.
Araştırmacılar yaklaşımlarını test ettiklerinde, derin sinir ağının yüzde 96 doğruluk oranına ulaşmasını sağlarken sunucu ve istemci için güvenliği garanti edebileceğini buldular.
İstemci işlemleri gerçekleştirdiğinde model hakkında sızan ufak bilgi parçası, bir saldırganın gizli bilgileri kurtarmak için ihtiyaç duyacağı bilginin yüzde 10’undan daha azdır. Diğer yönde çalışan kötü niyetli bir sunucu, istemcinin verilerini çalmak için ihtiyaç duyacağı bilginin yalnızca yüzde 1’ini elde edebilir.
Sulimany, “Her iki yönde de güvenli olduğundan emin olabilirsiniz; istemciden sunucuya ve sunucudan istemciye.” diyor.
“Birkaç yıl önce, MIT’nin ana kampüsü ile MIT Lincoln Laboratuvarı arasında dağıtılmış makine öğrenimi çıkarımının gösterimini geliştirdiğimizde, o test yatağında da gösterilen yıllardır süren kuantum kriptografisi çalışmalarına dayanarak fiziksel katman güvenliği sağlamak için tamamen yeni bir şey yapabileceğimizi fark ettim,” diyor EECS’de profesör, Kuantum Fotonik ve Yapay Zeka Grubu ve RLE’nin baş araştırmacısı Dirk Englund. “Ancak, gizlilik garantili dağıtılmış makine öğrenimi olasılığının gerçekleştirilip gerçekleştirilemeyeceğini görmek için üstesinden gelinmesi gereken birçok derin teorik zorluk vardı. Bu, Kfir ekibimize katılana kadar mümkün olmadı çünkü Kfir, bu çalışmanın altında yatan birleşik çerçeveyi geliştirmek için deneysel ve teori bileşenlerini benzersiz bir şekilde anlıyordu.”
Gelecekte araştırmacılar, bu protokolün, birden fazla tarafın verilerini kullanarak merkezi bir derin öğrenme modeli eğittiği federasyonlu öğrenme adı verilen bir tekniğe nasıl uygulanabileceğini incelemek istiyorlar. Ayrıca, bu çalışma için inceledikleri klasik işlemler yerine kuantum işlemlerinde de kullanılabilir ve bu da hem doğruluk hem de güvenlik açısından avantajlar sağlayabilir.