Исследователи из России создали метод выявления краж моделей искусственного интеллекта (ИИ), доступ к которым предоставляется через стандартизированные онлайн-интерфейсы.
Созданные учеными "водяные знаки" позволяют доказать, что модель была скомпрометирована, сообщила пресс-служба Института искусственного интеллекта AIRI.
"В первую очередь наш подход полезен "закрытым" моделям, поскольку их кража позволяет предположить, что внутри организации ведется инсайдерская работа или был произведен не зафиксированный ранее взлом. Однако мы также поддерживаем применение водяных знаков для моделей, выложенных в открытый доступ под лицензией Open source", — сказал старший научный сотрудник AIRI Олег Рогов, чьи слова приводит пресс-служба института.
Разработанный Роговым и его коллегами подход по защите систем искусственного интеллекта от кражи опирается в своей работе на идею о том, что любой нейросетевой алгоритм можно модифицировать таким образом, что он будет выдавать конкретные ответы на цифровые "водяные знаки", определенные наборы данных. В теории, это позволяет выявить факт использования одной конкретной системы ИИ в том случае, если кто-то позаимствовал ее код или получил неправомерный доступ к ее интерфейсам.
На практике данный подход работал далеко не всегда, так как различные улучшения и модификации, которые вносятся в заимствованные ИИ-модели нейросетевыми "пиратами", часто заставляют их не реагировать на "водяные знаки". Эту проблему можно обойти при помощи созданного учеными РФ подхода, который позволяет предугадать, насколько тот или иной цифровой "водяной знак" будет устойчив к различным модификациям в параметрах работы систем ИИ.
Работу этого подхода по защите систем ИИ от кражи Рогов и его коллеги проверили на популярной нейросети ResNet34, используемой для классификации изображений. Ученые подготовили набор "водяных знаков" для этого алгоритма и проверили, сохранит ли модель способность реагировать на них после серии различных модификаций, которые могут внести в нее предположительные "пираты".
Проведенные учеными опыты показали, что созданный ими подход позволяет выявлять случаи неправомерного заимствования модели в 73-100% случаев, и при этом он значительно превосходит уже существующие методики использования цифровых "водяных знаков". Как надеются исследователи, созданный ими подход позволит разработчикам закрытых и открытых систем ИИ эффективнее защищать свои проекты от кражи, для чего российские исследователи выложили свою разработку в открытом доступе.
