Las redes neuronales de aprendizaje profundo en el corazón de la inteligencia artificial moderna a menudo se describe como ” cajas negras ” cuyo funcionamiento interno es inescrutable. Pero una nueva investigación cuestiona esa idea, con importantes implicaciones para la privacidad.
A diferencia del software tradicional cuyas funciones están predeterminadas por un desarrollador, las redes neuronales aprenden cómo procesar o Analy z de datos electrónicos por la formación en ejemplos. Lo hacen ajustando continuamente la fuerza de los vínculos entre sus muchas neuronas .
Al final de este proceso, la forma en que toman decisiones está ligada a una red enredada de conexiones que puede ser imposible de seguir. Como resultado, a menudo se asume que incluso si tiene acceso al modelo en sí, es más o menos imposible calcular los datos con los que se entrenó el sistema.
Pero un par de artículos recientes han cuestionado esta suposición , según MIT Technology Review , al mostrar que se usan dos técnicas muy diferentes para identificar los datos con los que se entrenó un modelo. Th es podría tener graves consecuencias para los sistemas de inteligencia artificial formados en la información confidencial, como registros de salud o datos financieros.
El primer enfoque apunta a las redes generativas adversarias (GAN), los sistemas de inteligencia artificial detrás de las imágenes deepfake . Estos sistemas s cada vez se utilizan para crear caras sintéticas que son supuestamente nada que ver con verdaderos personas .
Pero los investigadores de la Universidad de Caen Normandy en Francia demostraron que podían vincular fácilmente rostros generados a partir de un modelo popular con personas reales cuyos datos se utilizan para entrenar a la GAN. Lo hicieron al obtener un segundo modelo de reconocimiento facial para comparar las caras generadas con las muestras de entrenamiento para detectar si compartían la misma identidad.
Las imagenes ningún hijo Una coincidencia exacta, ya Que El GAN los ha Modificado, Pero los Investigadores se encuentran m ultiple EJEMPLOS en los rostros Generados were claramente vinculados con Imágenes en los Datos de Entrenamiento. En un artículo que describe la investigación , que señalan que en muchos casos la cara generadora es simplemente el rostro original en una actitud diferente.
Si bien el enfoque es específico para las GAN de generación de rostros, los investigadores señalan que se podrían aplicar ideas similares a cosas como datos biométricos o imágenes médicas. Sin embargo, otro enfoque más general para la ingeniería inversa de redes neuronales podría hacerlo de inmediato.
Un grupo de Nvidia ha demostrado que pueden inferir los datos en los que se entrenó el modelo sin siquiera ver ningún ejemplo de los datos entrenados. Utilizaron un enfoque llamado inversión de modelo, que efectivamente ejecuta la red neuronal a la inversa. Esta técnica se utiliza a menudo para Analy z redes neuronales e, pero utilizando para recuperar los datos de entrada solamente se han logrado en las redes simples bajo conjuntos muy específicos de suposiciones.
Me n Reciente article ONU , los Resea rchers describo d CÓMO were CAPACES de ampliar el Enfoque de Redes de Gran Tamaño Mediante la división del Problema y La Realización de inversiones En Cada Una de las Capas de Las Redes Separado por. Con este enfoque, fueron capaces de recrear imágenes de datos de entrenamiento utilizando nada más que el modelo s mismos.
Mientras lleva a cabo ninguno de los ataques es un proceso complejo que requiere acceso íntimo para el modelo en cuestión, tanto resaltar el hecho de que los IA puede no ser las cajas negras que pensaban que eran, y decidido atacante s c Ould extraen potencialmente sensibles información de ellos.
Teniendo en cuenta que cada vez es más fácil de revertir el modelo ingeniero de otra persona utilizando su propia IA, el requisito de tener acceso a la red neuronal no es aún tan grande de una barrera.
El problema no se limita a los algoritmos basados en imágenes. El año pasado, investigadores de un consorcio de empresas de tecnología y universidades demostraron que pueden extraer titulares de noticias, código JavaScript e información de identificación personal del modelo de lenguaje grande GPT-2.
Estas cuestiones son sólo va a ser más acuciante como sistemas de inteligencia artificial se abren paso en zonas sensibles como la salud, las finanzas, y defen s e. Hay algunas soluciones en el horizonte , como la privacidad diferencial, donde los modelos se entrenan en las características estadísticas de los datos agregados en el lugar de puntos de datos individuales, o el cifrado homomórfico, un paradigma emergente que hace posible calcular directamente sobre datos cifrados.
Pero estos enfoques aún están muy lejos de ser una práctica estándar, por lo que, por el momento, confia.
Fuente:
Gent, E. (2021h, 25 de octubre). Después de todo, no es tan misterioso: los investigadores muestran cómo descifrar la caja negra de la IA. Recuperado 26 de octubre de 2021, de https://singularityhub.com/2021/10/25/not-so-mysterious-after-all-researchers-show-how-to-crack-ais-black-box/