Expertos de la Universidad Nacional de Singapur han llegado a la conclusión de que la Inteligencia Artificial más explicable, lleva consigo la posibilidad de evadir funciones esenciales de protección de la privacidad en los sistemas de Machine Learning. Igualmente, descubrieron que, incluso cuando un modelo no es explicado, se puede recurrir a las explicaciones de modelos similares para “decodificar” datos sensibles del modelo no explicativo.
Estudios recientes titulados Explotación de explicaciones para ataques de inversión de modelos señalan los peligros de valerse de la opacidad “accidental” de cómo funcionan las redes neuronales cual si fuera una característica de seguridad inherente, especialmente porque una serie de nuevas iniciativas globales, incluyendo el proyecto de regulaciones de IA de la Unión Europea, están en marcha. Estas iniciativas están dotando a la Inteligencia Artificial Explicable (XAI) del estatus de requisito clave para la eventual normalización del Machine Learning en la sociedad.
Revelación de datos privados
Los participantes en conjuntos de datos de aprendizaje automático pueden haber otorgado su consentimiento para ser incluidos bajo la garantia de anonimato. No obstante, en el caso de la información de identificación personal que acaba en los sistemas de inteligencia artificial a través de la recopilación de datos ad hoc (empleando redes sociales, por ejemplo), la participación podría ser técnicamente legal, pero cuestiona la verdadera noción de «consentimiento».
En años pasados, han emergido diversos métodos que han demostrado ser capaces de anonimizar la información de identificación personal a partir de flujos de datos de machine learning aparentemente opacos. La Extracción de modelos se vale del acceso a la API (acceso «black box» es decir, sin disponibilidad especial del código fuente o los datos) para extraer información privada y sensible incluso de proveedores de MLaaS a gran escala, incluyendo los servicios web de Amazon.
Rostros Reveladores
Los investigadores de esta nueva investigación se centraron en un ataque de inversión de modelo diseñado para obtener una identidad a partir de un subconjunto de datos de emociones faciales que no deberían ser capaces de revelar dicha información.
El objetivo del sistema era asociar imágenes encontradas en la naturaleza (publicadas casualmente en Internet o a través de una posible violación de datos) con su inclusión en los conjuntos de datos que sustentan un algoritmo de aprendizaje automático.
Los investigadores adiestraron un modelo de ataque de inversión capaz de reconstruir la imagen contribuyente a partir de la salida de API anónima, sin acceso especial a la arquitectura original. Los trabajos anteriores en este campo se han concentrado en sistemas donde la identificación (proteger o revelar) era el objetivo tanto del sistema objetivo como del sistema atacante. En este caso, el marco ha sido diseñado para explotar el resultado en un dominio y aplicarlo a un dominio diferente.
Pruebas
Al poner a prueba el sistema, los investigadores lo aplicaron en tres conjuntos de datos: iCV-MEFED Expresiones faciales; CelebA; y Dígitos manuscritos del MNIST. Para ajustarse al tamaño de la muestra utilizada por los investigadores, se modificó el tamaño de los tres conjuntos de datos respectivamente a 128 × 128, 265 × 256 y 32 × 32 píxeles.
Se logró la reidentificación, con diferentes niveles según la tarea y los conjuntos de datos, en todos los conjuntos. Además, los investigadores descubrieron que al inventar un modelo objetivo sustituto (sobre el que naturalmente tenían control total), aún era posible lograr la reidentificación de datos de modelos externos «cerrados», basados en principios XAI conocidos.
En futuras investigaciones, el equipo planea incorporar diferentes tipos de explicación XAI en ataques novedosos, como visualizaciones de características y Vectores de concepto de activación.
LEE MÁS ARTÍCULOS SOBRE: Ciencia de Datos con IA.
LEE LA ENTRADA ANTERIOR: Entender cómo la realidad mixta inmersiva impulsará el metaverso.