ژنراتورهای چهره جعلی AI را می توان پیمایش کرد تا چهره واقعی آنها را آموزش دهد

با این حال ، Kautz می گوید ، این فرض را بر این می گذارد که می توانید داده های آموزشی را دریافت کنید. او و همکارانش در انویدیا روش دیگری را برای افشای اطلاعات خصوصی ارائه کرده اند ، از جمله عکس چهره ها و اشیاء دیگر ، داده های پزشکی و موارد دیگر ، که به هیچ وجه نیازی به دسترسی به داده های آموزشی ندارد.

در عوض ، آنها یک الگوریتم ایجاد کردند که می تواند داده هایی را که مدل آموزش دیده با آنها معکوس شده است ، با معکوس کردن مراحل مدل در هنگام پردازش این داده ها ، بازسازی کند. بیایید از یک شبکه تشخیص تصویر آموزش دیده استفاده کنیم: برای شناسایی آنچه در تصویر وجود دارد ، شبکه آن را از طریق یک سری لایه های نورون های مصنوعی عبور می دهد. هر لایه سطوح مختلف اطلاعات را متمایز می کند ، از لبه ها تا اشکال و ویژگی های قابل تشخیص.

تیم کائوتز دریافتند که می توانند در این مراحل مدل را بشکنند و با بازآفرینی تصویر ورودی از داده های داخلی مدل ، جهت آن را معکوس کنند. آنها این تکنیک را بر روی انواع مدل های رایج تشخیص تصویر و GAN ها آزمایش کردند. در یک آزمایش ، آنها نشان دادند که می توانند تصاویر را به طور دقیق از ImageNet ، یکی از شناخته شده ترین مجموعه داده های تشخیص تصویر ، بازسازی کنند.

NVIDIA

همانطور که در آثار وبستر ، تصاویر بازآفرینی شده بسیار شبیه تصاویر واقعی است. کائوتز می گوید: “ما از کیفیت نهایی شگفت زده شدیم.”

دانشمندان می گویند این نوع حمله صرفاً فرضی نیست. تلفن های هوشمند و سایر دستگاه های کوچک در حال استفاده بیشتر و بیشتر از هوش مصنوعی هستند. با توجه به محدودیت باتری و حافظه ، بعضی اوقات مدلها تنها در دستگاه خود پردازش می شوند و برای خرابی نهایی محاسبه به ابر ارسال می شوند ، روشی که به پردازش مشترک معروف است. کائوتز می گوید ، اکثر محققان تصور می کنند که پردازش تقسیم شده هیچ گونه اطلاعات خصوصی از تلفن فرد را فاش نمی کند ، زیرا فقط مدل آن به اشتراک گذاشته شده است. اما حمله او نشان می دهد که چنین نیست.

کائوتز و همکارانش در حال حاضر روی راه هایی برای جلوگیری از نشت داده های خصوصی از مدل ها کار می کنند. او می گوید: “ما می خواستیم خطر را درک کنیم تا آسیب پذیری را به حداقل برسانیم.”

با وجود اینکه آنها از تکنیک های بسیار متفاوتی استفاده می کنند ، او احساس می کند که کار او و وبستر مکمل یکدیگر هستند. تیم وبستر نشان داد که داده های خصوصی را می توان در خروجی مدل یافت. تیم کائوتز نشان داد که داده های خصوصی را می توان با انجام خلاف این با بازآفرینی داده های ورودی فاش کرد. کائوتز می گوید: “بررسی هر دو جهت برای درک بهتر نحوه جلوگیری از حملات مهم است.”