深度学习模型已在各个行业得到应用,从医疗保健诊断到财务预测。但是,它们的高计算需求通常需要强大的基于云的服务器。
这种对云计算的依赖引发了明显的安全问题,尤其是在医疗保健等敏感领域。例如,由于潜在的隐私风险,医院可能不愿意采用 AI 工具来分析机密的患者数据。
为了解决这一紧迫的问题,麻省理工学院的研究人员开发了一种安全协议,该协议利用光的量子特性来保证发送到云服务器和从云服务器发送的数据在深度学习计算期间保持安全。
通过将数据编码到光纤通信系统中使用的激光中,该协议利用了量子力学的基本原理,使攻击者无法在不被发现的情况下复制或拦截信息。
此外,该技术在不影响深度学习模型准确性的情况下保证了安全性。在测试中,研究人员证明他们的协议可以保持 96% 的准确率,同时确保强大的安全措施。
“像 GPT-4 这样的深度学习模型具有前所未有的功能,但需要大量的计算资源。我们的协议使用户能够利用这些强大的模型,而不会损害其数据的隐私或模型本身的专有性质,“麻省理工学院电子研究实验室 (RLE) 的博士后、该安全协议论文的主要作者 Kfir Sulimany 说。
深度学习安全双行道
研究人员关注的基于云的计算场景涉及一个拥有机密数据(如医学图像)的客户端,以及一个控制深度学习模型的中央服务器。
客户希望使用深度学习模型根据医学图像预测患者是否患有癌症,而不透露患者信息。
在这种情况下,必须发送敏感数据才能生成预测。但是,在此过程中,患者数据必须保持安全。
此外,服务器不想透露像 OpenAI 这样的公司花费数年时间和数百万美元构建的专有模型的部分。
“双方都有他们想隐藏的东西,”麻省理工学院博士后 Sri Krishna Vadlamani 补充道。
在数字计算中,不良行为者可以很容易地复制从服务器或客户端发送的数据。
另一方面,量子信息无法完美复制。研究人员在他们的安全协议中利用了这一特性,称为无克隆原则。
对于研究人员的协议,服务器使用激光将深度神经网络的权重编码为光场。
神经网络是一种深度学习模型,由对数据执行计算的互连节点或神经元层组成。权重是模型的组成部分,用于对每个输入执行数学运算,一次一层。一层的输出被馈送到下一层,直到最后一层生成预测。
服务器将网络的权重传输到客户端,客户端根据其私有数据实施操作以获取结果。数据将保持对服务器屏蔽。
同时,安全协议允许客户端只测量一个结果,并且由于光的量子性质,它可以防止客户端复制权重。
一旦客户端将第一个结果馈送到下一层,该协议就会被设计为抵消第一层,这样 Client 端就无法了解有关模型的任何其他信息。
“客户端不是测量来自服务器的所有入射光,而是只测量运行深度神经网络并将结果馈送到下一层所需的光。然后,客户端将残余光发送回服务器进行安全检查,“Sulimany 解释道。
由于不可克隆定理,客户在测量模型结果时不可避免地会对模型施加微小的误差。当服务器接收到来自客户端的残差光时,服务器可以测量这些误差以确定是否有任何信息泄露。重要的是,这种残余光被证明不会泄露客户数据。
实用的方案
现代电信系统主要依靠光纤来传输信息,这是由于需要支持长距离的大量带宽。由于这些系统已经使用光学激光器,因此研究人员可以将数据无缝编码为光以用于其安全协议,而无需额外的硬件。
当他们测试他们的方法时,研究人员发现它可以保证服务器和客户端的安全,同时使深度神经网络能够达到 96% 的准确率。
当客户端执行操作时,有关模型泄漏的少量信息不到对手恢复任何隐藏信息所需信息的 10%。相反,恶意服务器只能获得窃取客户端数据所需信息的 1% 左右。
“您可以保证它在两个方面都是安全的 — 从客户端到服务器以及从服务器到客户端,”Sulimany 说。
“几年前,当我们在麻省理工学院主校区和麻省理工学院林肯实验室之间开发分布式机器学习推理演示时,我突然意识到,我们可以做一些全新的事情来提供物理层安全性,以多年的量子密码学工作为基础,这些工作也在该测试台上得到了证明,”Dirk Englund 说,EECS 教授,量子光子学和人工智能小组以及 RLE 的首席研究员。“然而,必须克服许多深刻的理论挑战,才能看到这种隐私保证的分布式机器学习的前景能否实现。直到 Kfir 加入我们的团队,这才成为可能,因为 Kfir 对实验和理论组成部分有着独特的理解,从而开发了支撑这项工作的统一框架。
未来,研究人员希望研究如何将此协议应用于一种称为联邦学习的技术,其中多方使用他们的数据来训练一个中央深度学习模型。它也可以用于量子运算,而不是他们为这项工作研究的经典运算,后者可以在准确性和安全性方面提供优势。
文章原文链接:https://www.anquanke.com/post/id/300481