Protección DRM para conjuntos de datos en visión por computadora

El deseo de protección de la propiedad intelectual provoca un cambio en la investigación de la visión por computadora

Las tendencias históricas indican que la actual «etapa abierta» de la investigación en visión por computadora, en la que la replicabilidad y el peer review favorables son consideraciones clave para el lanzamiento de un nuevo esfuerzo, probablemente evolucionará hacia una nueva época marcada por la protección de la propiedad intelectual. En esta etapa, las plataformas cerradas y las barreras a la competencia podrían prevenir que otras entidades socaven los costos elevados de desarrollo de conjuntos de datos y eviten que utilicen un proyecto costoso como base para desarrollar una versión rival, que podría superar a la original.

La creciente ola de proteccionismo en Inteligencia Artificial

Actualmente, hay un crecimiento notable hacia el proteccionismo en muchos campos de la Inteligencia Artificial, incluyendo la visión por computadora. Esto se evidencia principalmente en los esfuerzos para construir cercos alrededor de los marcos patentados fundamentales bloqueándolos detrás del acceso a API. En estos sistemas, los usuarios deben emitir tokens o solicitudes específicas y las transformaciones que hacen valiosas las respuestas del sistema están completamente escondidas.

En algunos casos, el modelo final puede estar disponible para su uso, pero la información que lo hace valioso, como los pesos pre-entrenados que pueden tener un costo de millones para producir, se mantiene en secreto. En otros casos, el modelo puede carecer de un conjunto de datos propietario o de detalles precisos sobre cómo se generó un subconjunto de datos a partir de una gama de conjuntos de datos abiertos. El modelo transformador de lenguaje natural GPT-3 de OpenAI emplea actualmente ambas estrategias de protección, poniendo a posibles imitadores del modelo, como GPT Neo, en la posición de tener que improvisar una aproximación al producto lo mejor que puedan.

Conjuntos de datos de imágenes protegidos contra la copia

La comunidad científica muestra un creciente interés en los métodos que permiten a un marco de aprendizaje automático «protegido» lograr cierta medida de portabilidad, asegurando al mismo tiempo que sólo los usuarios autorizados (por ejemplo, los que pagan) puedan utilizar de manera eficiente el sistema en cuestión. Generalmente, esto implica el cifrado del conjunto de datos de alguna manera que permita que el marco de Inteligencia Artificial procese los datos «limpios» en el momento del entrenamiento, pero que esté inutilizable o comprometido en cualquier otro contexto.

Recientemente, un sistema de este tipo fue propuesto por investigadores de la Universidad de Ciencia y Tecnología de China en Anhui y de la Universidad de Fudan en Shanghai. Bajo el título Protección de conjuntos de datos de imágenes invertibles, el estudio describe un método que agrega de forma automática perturbaciones adversas a un conjunto de imágenes, de tal forma que, si se piratean, no puedan ser útiles para el entrenamiento. Sin embargo, estas protecciones son completamente eliminadas por un sistema autorizado que tiene un token secreto.

Mecanismo de protección a través del cifrado de imágenes.

El mecanismo principal de protección es un generador de ejemplos adversarios reversibles (RAEG por sus siglas en inglés) que equivale a un coeficiente de cripto-robustez aplicado a la usabilidad de las imágenes para fines de clasificación. Este sistema aplica la ocultación de datos reversible (RDH), lo que permite, según los autores:

‘El método primero genera la imagen adversaria utilizando métodos AE existentes, luego incorpora la perturbación adversaria en la imagen adversaria y genera la imagen stego usando RDH. Gracias a la característica de reversibilidad, es posible recuperar la perturbación adversa y la imagen original.’

Las imágenes originales del conjunto de datos se introducen en una red neuronal invertible (INN) en forma de U para producir imágenes afectadas adversamente que están diseñadas para confundir a los sistemas de clasificación. Este proceso interfiere con la extracción de características típicas lo que complica la clasificación de rasgos como el género y otras características faciales (aunque la arquitectura admite una variedad de dominios, no solo el material basado en rostros).

Por lo tanto, si se intenta usar el conjunto de datos «corrompido» o «cifrado» en un marco diseñado para la creación de rostros basado en Generative Adversarial Networks (GAN), o para fines de reconocimiento facial, el modelo resultante será menos efectivo de lo que habría sido si hubiera sido entrenado en imágenes no perturbadas.

La encriptación de las imágenes y su costo

No obstante, este programa de protección tiene un costo. Los investigadores describen la pérdida de la calidad de la imagen original como una «ligera distorsión» y sostienen que «El método propuesto puede restaurar casi perfectamente la imagen original, mientras que los métodos anteriores solo pueden restaurar una versión borrosa».

Avances notables en la usabilidad de las imágenes restauradas

Los investigadores del nuevo estudio sostienen que han hecho avances notables en la usabilidad de las imágenes restauradas en comparación con los enfoques anteriores. Afirman que el primer enfoque es demasiado sensible a la interferencia intermedia y demasiado fácil de eludir, mientras que el segundo provoca una degradación significativa de las imágenes originales durante el entrenamiento autorizado, lo que socava la aplicabilidad del sistema.

Arquitectura, datos y pruebas del sistema generador de ejemplos adversarios reversibles

El nuevo sistema se compone de un generador, una capa de ataque que aplica perturbaciones, clasificadores de objetivo previamente entrenados y un elemento discriminador.

Se realizaron pruebas comparativas con los dos enfoques anteriores, utilizando tres conjuntos de datos: CelebA-100; Caltech-101; y Mini-ImageNet.

Los autores afirman que RAEG es el primer trabajo que ofrece una red neuronal invertible que puede generar activamente ejemplos adversos.