MIT badacze stworzyli kwantowy protokół bezpieczeństwa, który zwiększa prywatność danych w głębokim uczeniu się w chmurze.
Kodując dane w świetle lasera, protokół zapewnia bezpieczną transmisję danych bez narażania na szwank dokładność modeli. Wstępne testy wykazały dokładność na poziomie 96%, przy jednoczesnej pełnej ochronie danych użytkownika i szczegółów modelu, obiecując przełom w bezpiecznych obliczeniach AI.
Głębokie uczenie się i bezpieczeństwo kwantowe
Modele głębokiego uczenia się znalazły zastosowanie w wielu sektorach, w tym w diagnostyce opieki zdrowotnej i prognozowaniu finansowym. Ze względu na wysokie wymagania obliczeniowe modele te opierają się na solidnych serwerach opartych na chmurze.
Takie uzależnienie od chmury obliczeniowej niesie jednak ze sobą znaczne zagrożenia bezpieczeństwa. Jest to szczególnie istotne w wrażliwych dziedzinach, takich jak opieka zdrowotna, gdzie obawy dotyczące prywatności danych pacjentów mogą zniechęcać szpitale do wdrażania narzędzi sztucznej inteligencji.
Aby uporać się z tym palącym problemem, badacze z MIT opracowali protokół bezpieczeństwa, który wykorzystuje kwantowe właściwości światła, aby zagwarantować, że dane wysyłane do i z serwera w chmurze pozostaną bezpieczne podczas obliczeń głębokiego uczenia się.
Kodując dane w świetle lasera stosowanym w systemach komunikacji światłowodowej, protokół wykorzystuje podstawowe zasady mechaniki kwantowej, uniemożliwiając atakującym skopiowanie lub przechwycenie informacji bez wykrycia.
Co więcej, technika ta gwarantuje bezpieczeństwo bez uszczerbku dla dokładności modeli głębokiego uczenia się. W testach badacz wykazał, że ich protokół może zachować 96-procentową dokładność, zapewniając jednocześnie solidne zabezpieczenia.
„Modele głębokiego uczenia się, takie jak GPT-4, mają niespotykane dotąd możliwości, ale wymagają ogromnych zasobów obliczeniowych. Nasz protokół umożliwia użytkownikom wykorzystanie tych potężnych modeli bez narażania prywatności ich danych lub zastrzeżonego charakteru samych modeli” – mówi Kfir Sulimany, postdoc z MIT w Research Laboratory for Electronics (RLE) i główny autor artykułu na ten temat protokół bezpieczeństwa.
W artykule do Sulimany’ego dołącza Sri Krishna Vadlamani, postdoc z MIT; Ryan Hamerly, były doktorant, obecnie w NTT Research, Inc.; Prahlad Iyengar, absolwent elektrotechniki i informatyki (EECS); oraz starszy autor Dirk Englund, profesor EECS, główny badacz Grupy ds. Fotoniki Kwantowej i Sztucznej Inteligencji oraz RLE. Wyniki badania zaprezentowano niedawno na dorocznej konferencji na temat kryptografii kwantowej.
Wdrażanie zasad kwantowych ochrony danych
Scenariusz obliczeń w chmurze, na którym skupili się badacze, obejmuje dwie strony — klienta, który posiada poufne dane, takie jak obrazy medyczne, oraz centralny serwer kontrolujący model głębokiego uczenia się.
Klient chce wykorzystać model głębokiego uczenia się do przewidywania, na przykład, czy pacjent ma raka, na podstawie obrazów medycznych, bez ujawniania informacji o pacjencie.
W tym scenariuszu należy przesłać wrażliwe dane, aby wygenerować prognozę. Jednakże w trakcie tego procesu dane pacjenta muszą pozostać bezpieczne.
Ponadto serwer nie chce ujawniać żadnych części zastrzeżonego modelu, na budowę którego firma taka jak OpenAI spędziła lata i miliony dolarów.
„Obie strony mają coś, co chcą ukryć” – dodaje Vadlamani.
W obliczeniach cyfrowych nieuczciwy aktor może z łatwością skopiować dane przesłane z serwera lub klienta.
Z drugiej strony informacji kwantowej nie można idealnie skopiować. Naukowcy wykorzystują tę właściwość, znaną jako zasada zakazu klonowania, w swoim protokole bezpieczeństwa.
Mechanika kwantowa usprawniająca działanie sieci neuronowych
Na potrzeby protokołu badaczy serwer koduje wagi głębokiej sieci neuronowej w polu optycznym za pomocą światła lasera.
Sieć neuronowa to model głębokiego uczenia się, który składa się z warstw połączonych ze sobą węzłów, czyli neuronów, które wykonują obliczenia na danych. Wagi to elementy modelu, które wykonują operacje matematyczne na każdym wejściu, jedna warstwa na raz. Dane wyjściowe jednej warstwy są przekazywane do następnej warstwy, aż ostatnia warstwa wygeneruje prognozę.
Serwer przesyła wagi sieci do klienta, który realizuje operacje, aby uzyskać wynik na podstawie jego prywatnych danych. Dane pozostają chronione przed serwerem.
Jednocześnie protokół bezpieczeństwa pozwala klientowi zmierzyć tylko jeden wynik i uniemożliwia klientowi kopiowanie wag ze względu na kwantową naturę światła.
Gdy klient przekaże pierwszy wynik do następnej warstwy, protokół ma na celu anulowanie pierwszej warstwy, tak aby klient nie mógł dowiedzieć się niczego więcej o modelu.
„Zamiast mierzyć całe światło przychodzące z serwera, klient mierzy jedynie światło niezbędne do uruchomienia głębokiej sieci neuronowej i przekazania wyniku do następnej warstwy. Następnie klient wysyła światło resztkowe z powrotem na serwer w celu sprawdzenia bezpieczeństwa” – wyjaśnia Sulimany.
Ze względu na twierdzenie o nieklonowaniu klient nieuchronnie popełnia drobne błędy w modelu podczas pomiaru jego wyniku. Gdy serwer otrzyma od klienta światło resztkowe, może zmierzyć te błędy, aby ustalić, czy doszło do wycieku jakichkolwiek informacji. Co ważne, udowodniono, że to resztkowe światło nie ujawnia danych klienta.
Przyszłe kierunki i praktyczne zastosowania
Nowoczesny sprzęt telekomunikacyjny zazwyczaj wykorzystuje światłowody do przesyłania informacji ze względu na konieczność obsługi ogromnej przepustowości na duże odległości. Ponieważ sprzęt ten zawiera już lasery optyczne, badacze mogą kodować dane w świetle na potrzeby protokołu bezpieczeństwa bez specjalnego sprzętu.
Testując to podejście, badacze odkryli, że może ono zagwarantować bezpieczeństwo serwera i klienta, umożliwiając jednocześnie głębokiej sieci neuronowej osiągnięcie 96% dokładności.
Drobna część informacji o modelu, która wycieka podczas wykonywania operacji przez klienta, stanowi mniej niż 10 procent tego, czego potrzebowałby przeciwnik, aby odzyskać ukryte informacje. Działając w drugą stronę, złośliwy serwer może uzyskać jedynie około 1 procent informacji potrzebnych do kradzieży danych klienta.
„Możesz mieć pewność, że jest bezpieczny pod każdym względem — od klienta do serwera i od serwera do klienta” – mówi Sulimany.
„Kilka lat temu, kiedy opracowywaliśmy nasz demonstracja rozproszona uczenie maszynowe wnioskowanie pomiędzy głównym kampusem MIT a laboratorium MIT Lincoln Laboratory, dotarło do mnie, że możemy zrobić coś zupełnie nowego, aby zapewnić bezpieczeństwo warstwy fizycznej, opierając się na latach pracy nad kryptografią kwantową, która również pokazano na tym stanowisku testowym– mówi Englund. „Istniało jednak wiele głębokich wyzwań teoretycznych, które należało przezwyciężyć, aby sprawdzić, czy perspektywa rozproszonego uczenia maszynowego gwarantującego prywatność może zostać zrealizowana. Stało się to możliwe dopiero, gdy Kfir dołączył do naszego zespołu, ponieważ Kfir w wyjątkowy sposób rozumiał elementy eksperymentalne i teoretyczne, aby opracować ujednolicone ramy leżące u podstaw tej pracy”.
W przyszłości naukowcy chcą zbadać, w jaki sposób protokół ten można zastosować w technice zwanej uczeniem się stowarzyszonym, w której wiele stron wykorzystuje swoje dane do szkolenia centralnego modelu głębokiego uczenia się. Można go również zastosować w operacjach kwantowych, a nie w klasycznych operacjach, które badali na potrzeby tej pracy, co mogłoby zapewnić korzyści zarówno pod względem dokładności, jak i bezpieczeństwa.
„Ta praca w sprytny i intrygujący sposób łączy techniki czerpiące z dziedzin, które zwykle nie spotykają się w szczególności z głębokim uczeniem i kwantową dystrybucją klucza. Wykorzystując metody z tego drugiego, dodaje warstwę bezpieczeństwa do pierwszego, jednocześnie umożliwiając coś, co wydaje się realistyczną implementacją. Może to być interesujące ze względu na ochronę prywatności w architekturach rozproszonych. Nie mogę się doczekać, aby zobaczyć, jak protokół zachowuje się w warunkach eksperymentalnych niedoskonałości i jego praktycznej realizacji” – mówi Eleni Diamanti, dyrektor ds. badań CNRS na Uniwersytecie Sorbona w Paryżu, która nie była zaangażowana w te prace.
Odniesienie: „Kwantowe, wielostronne głębokie uczenie się” autorstwa Kfira Sulimany’ego, Sri Krishny Vadlamani, Ryana Hamerly’ego, Prahlada Iyengara i Dirka Englunda, 13 września 2024 r., Fizyka kwantowa.
arXiv:2408.05629
Prace te były częściowo wspierane przez Izraelską Radę ds. Szkolnictwa Wyższego i Program Przywództwa Zuckerman STEM.
