В России придумали, как защитить нейросети от утечек данных

Учёные из Института AIRI, ИЦДИИ ИСП РАН, Сбера, МТУСИ и Сколтеха разработали новый метод — GLiRA, предназначенный для анализа уязвимости нейросетевых моделей. Этот подход позволяет тестировать модели с помощью атак, чтобы выявить, какие данные использовались для их обучения. Такой метод помогает понять, как может происходить утечка персональных данных и какие уязвимости подвержены риску. Это особенно важно для защиты конфиденциальности в таких областях, как медицина и финансы, где важна защита личной информации.

GLiRA основывается на технологии дистилляции знаний и используется в условиях, когда атакующий не имеет доступа к внутренней структуре модели, а может только взаимодействовать с её интерфейсом. Это позволяет создавать теневые модели, которые могут воссоздавать поведение оригинальной модели и извлекать информацию о данных, на которых она обучалась.

Дистилляция знаний — это метод, при котором информация из сложной модели (учителя) передается более простой модели (ученику). Модель-ученик учится на выводах модели-учителя, что позволяет ей достигать хороших результатов с меньшими вычислительными затратами.

В результате исследований, GLiRA показал на 7% более высокую точность атак по сравнению с предыдущими методами, что подчеркивает его эффективность в стресс-тестировании и выявлении слабых мест в безопасности нейросетей. Этот метод поможет разработать более эффективные стратегии защиты данных и повысить уровень безопасности ИИ-систем.