2024-08-01
한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina
Uusi viisausraportti
Toimittaja: LRST Niin unelias
[Johdatus uuteen viisauteen] Tutkijat ehdottavat uutta MEM-menetelmää multimodaalisten ei-oppimattomien näytteiden luomiseksi henkilötietojen suojaamiseksi väärinkäytöltä multimodaalisilla kontrastiivisilla oppimismalleilla. Optimoimalla kuvan kohinaa ja tekstitriggerejä MEM-menetelmä johtaa mallia tehokkaasti harhaan, vähentää sen oppimiskykyä yksityisillä tiedoilla ja osoittaa vahvaa siirrettävyyttä eri mallien välillä.
Multimodaalinen kontrastiivinen oppiminen (kuten CLIP) on saavuttanut merkittävää edistystä nollakuvan luokittelussa oppimalla miljoonista Internetistä kaavituista kuva-tekstipareista.
Tämä riippuvuus aiheuttaa kuitenkin tietosuojariskejä, koska hakkerit voivat hyödyntää kuvatekstidataa mallikoulutukseen ilman lupaa, mikä voi sisältää henkilökohtaisia ja yksityisyyden kannalta arkaluonteisia tietoja.
Viimeaikainen työ ehdottaa, että suojattuja pikakuvakkeita voidaan luoda luomalla oppimattomia esimerkkejä lisäämällä harjoituskuviin huomaamattomia häiriöitä.
Nämä menetelmät on kuitenkin suunniteltu yksimuotoisiin luokittelutehtäviin ja jäävät alitutkituksi multimodaalisessa kontrastiivisessa oppimisessa. Tässä artikkelissa tarkastellaan ensin tätä kontekstia arvioimalla olemassa olevien menetelmien suorituskykyä kuva-tekstipareissa, joissa aikaisemmat menetelmät eivät voi tehokkaasti yleistää multimodaalista dataa, koska tässä skenaariossa ei ole tunnisteita, ja niillä on rajallinen tehokkuus pikakuvakkeiden luomisessa.
Tässä artikkelissa ehdotamme Multi-step Error Minimization (MEM) - uutta optimointiprosessia multimodaalisten ei-oppivien näytteiden luomiseen. Se laajentaa virheiden minimointi (EM) -kehystä optimoimaan kuvan kohinaa ja muita tekstilaukaisuja, mikä laajentaa optimointitilaa ja johtaa mallin tehokkaasti harhaan oppimaan oikoteitä kohinaominaisuuksien ja tekstilaukaisimien välillä.
Paperilinkki: https://arxiv.org/abs/2407.16307
Koodilinkki: https://github.com/thinwayliu/Multimodal-Unlearnable-Examples
Erityisesti projisoitua gradienttilaskua käytetään ratkaisemaan kohinan minimointiongelma, ja HotFlip-menetelmää käytetään gradientin approksimoimiseen ja sanojen korvaamiseen optimaalisen tekstilaukaisimen löytämiseksi.
Useat kokeet ovat osoittaneet menetelmän tehokkuuden, suojauksen jälkeiset hakutulokset ovat lähes puolet satunnaisen arvauksen tuloksista ja se on hyvin siirrettävissä eri mallien välillä. Tämän työn paperi ja koodi ovat avoimen lähdekoodin.
Tutkimuksen tausta
Viime vuosina multimodaalisen oppimisen myötä tutkijat ovat kiinnostuneet malleista, jotka yhdistävät useita tietotyyppejä, kuten tekstiä, kuvia ja ääntä.
Niiden joukossa multimodaalista kontrastiopetusta on tullut tärkeä menetelmä tällä alalla. Mallit, kuten CLIP ja ALIGN, käyttävät kontrastihäviöharjoitusta parantaakseen kuvien ja tekstin välistä korrelaatiota, mikä vähentää manuaalisten huomautusten tarvetta ja osoittaa kuvan edut. luokittelu, potentiaali sellaisissa tehtävissä kuin generointi.
Näiden mallien koulutus perustuu kuitenkin suuriin määriin multimodaalista tietoa, joka on usein peräisin julkisesti saatavilla olevista tietoaineistoista, kuten CC12M, YFCC100M ja LAION5B, mutta nämä tietojoukot voivat silti olla riittämättömiä ja voivat sisältää suuren määrän arkaluonteisia henkilötietoja, laukaisee huolta yksityisyyden loukkauksista.
Harkitsemme skenaariota, joka keskittyy multimodaalisten oppimattomien näytteiden luomiseen, jotta voidaan käsitellä multimodaaliseen kontrastiiviseen oppimiseen liittyviä yksityisyysriskejä. Tässä skenaariossa keskitymme kuva-teksti-pareihin edustavina multimodaalisina tietojoukkoina. Oletetaan, että käyttäjät jakavat usein henkilökohtaisia valokuvia tekstin kanssa sosiaalisessa mediassa, kuten Facebookissa, sisältäen joitain henkilökohtaisia tunnistetietoja, kuten kasvoja, nimiä, puhelinnumeroita ja osoitteita.
Tällä hetkellä hakkerit yrittävät kerätä suuren määrän tällaisia kuva-teksti-pareja Internetistä ja kouluttaa tai hienosäätää suuria malleja käyttämällä multimodaalisia kontrastiivisia oppimistekniikoita, kuten kuvan 1 vasemmassa puoliskossa näkyy.
Nämä mallit tallentavat vahingossa käyttäjien yksityisiä tietoja ja kasvojen piirteitä, mikä johtaa mahdollisiin tietosuojavuotojin. Suojelijat pyrkivät estämään näitä arkaluontoisia tietoja luvattomalta hyödyntämiseltä ottamalla käyttöön ei-oppivia menetelmiä multimodaalisissa tiedoissa. Nämä menetelmät tekevät käyttäjän yksityisistä ominaisuuksista mahdottomaksi sellaisille multimodaalisille oppimattomille näytteille opetetun mallin ulottuville, mutta eivät kuitenkaan estä käyttäjän sosiaalista vuorovaikutusta kuvien ja tekstien lähettämisen jälkeen, kuten kuvan 1 oikeasta puoliskosta näkyy.
Kuva 1: Viestit Facebookissa voivat vahingossa paljastaa henkilökohtaisia tietoja (vasemmalla), mutta käyttämällä multimodaalisia ei-opitavia näytteitä voidaan suojata tietoja ja estää luvattomia malleja pääsemästä yksityisiin ominaisuuksiin (oikealla)
motivaatio
Viimeaikainen tutkimus keskittyy tietojen luvattoman käytön estämiseen kuvien luokittelussa oppimattomien esimerkkien avulla. Nämä menetelmät estävät mallia oppimasta kuvan ominaisuuksia soveltamalla tietoihin hienovaraisia häiriöitä, joita kutsutaan myös saatavuushyökkäyksiksi tai mielivaltaisiksi myrkytyshyökkäyksiksi.
Se on jaettu pääasiassa agentittomiin mallihyökkäyksiin ja agenttipohjaisiin mallihyökkäyksiin, joissa agenttittomat mallihyökkäykset synnyttävät kohinaa pikselitasolla, kun taas agenttipohjaiset mallihyökkäykset tuottavat ominaisuustason kohinaa agenttimallin kautta.
Kaikki agenttivapaat luokittelumallimenetelmät eivät kuitenkaan synnytä kuvakohinaa multimodaalisissa skenaarioissa, koska näiden menetelmien tarkoituksena on löytää sarja tiettyjä kohinakuvioita tiettyyn luokkaan liittyville kuville, kun taas kuva-teksti-pareja ei ole. tiedot.
Siksi vain agenttimallipohjaisia menetelmiä voidaan soveltaa, ja laajennamme kahta tyypillistä menetelmää luomaan ei-oppivia multimodaalisia esimerkkejä (EM ja UAP).
Error-minimizing Noise (EM) -menetelmä:
Kohdistamaton kontradiktorinen häiriö.(UAP) -menetelmä:
Vaikka EM:tä ja UAP:ta voidaan soveltaa kuva-tekstityspareihin, niillä ei saavuteta tehokasta suojausta, etenkään UAP:ta. Tutkimme syitä, miksi näiden menetelmien tehokkuus heikkenee kuvien luokittelusta multimodaaliseen kontrastiiviseen oppimiseen.
Kuvien luokittelussa EM ja UAP optimoivat samalla tunnisteella varustetut kuvat konvergoimaan piirreavaruudessa, jolloin malli sieppaa helposti nämä lisäkohinat ja oppii korrelaation etiketin kanssa, kuten kuvassa 2(a).
Kuva 2: Eri menetelmien vertailu perinteisessä luokittelussa ja multimodaalisessa kontrastiivisessa oppimisessa. Edustaa kuvaa ja on parillinen otsikko.Sininen alue on odotettu päätösraja mallille, joka on koulutettu ei-oppivilla näytteillä
Mutta multimodaalisessa kontrastiivisessa oppimisessa, jotta EM- ja UAP-menetelmiä voitaisiin soveltaa tehokkaasti, optimoidun kuvakohinan suunnan on oltava yhteydessä tekstin ominaisuuksiin, jolloin kuvan ominaisuudet tulevat joko lähelle tai kauas näistä piirteistä. .
Eri tekstiominaisuuksien parit voivat kuitenkin olla hajallaan kuva-tekstitietosarjoissa. Kuten kuviosta 2(b) ja (c) näkyy, toisin kuin luokittelussa, mallin on vaikeampi siepata tekstityksen ja EM:n ja UAP:n synnyttämän kohinan välistä korrelaatiota.
Kuvassa 2(c) UAP:n oppimispäätösavaruus on monimutkaisempi, joten sen suojavaikutus ei ole hyvä.
menetelmä
Kuva 3: Monivaiheisen virheenminimointimenetelmän (MEM) kehys
Kuva-teksti-parien hajaantumisesta johtuen proxy-mallipohjaisilla menetelmillä ei vieläkään saavuteta tehokasta suojausta. Intuitiivinen parannusstrategia on optimoida kuvia ja tekstiä samanaikaisesti suuremman optimointitilan saamiseksi ja edistää niiden lähentymistä ominaisuustilan eri pareihin.
Siksi kuva- ja tekstijoukkojen optimoidut ominaisuusesitykset näyttävät samankaltaisia jakaumia, mikä helpottaa mallia oppimaan niiden pikakuvakkeet, kuten kuvassa 2(d).
Tätä tarkoitusta varten käytämme EM-menetelmää peruskehyksenä ja ehdotamme lisää lyhyttekstilaukaisuja ennen tekstityksiä kontrastihäviön minimoimiseksi tekstitehtäviin kohdistuvien vastakkaisten hyökkäysten asettamisen jälkeen. Menetelmämme voidaan konseptualisoida kolmitasoisena iteratiivisena optimointiongelmana, joka on samanlainen kuin EM:n monivaiheinen prosessi.
Erityisesti optimoimme kohinan δ ja tekstiliipaisimen t peräkkäin vähentääksemme optimoidun kuvan I + δ ja optimoidun tekstin T ⊕ t välistä kontrastihäviötä, missä ⊕ edustaa liipaisinta, joka voi lisätä puhdasta tekstiä T eri paikkoihin.
Yksinkertaisuuden vuoksi tässä artikkelissa päätämme lisätä tekstilaukaisimen tekstin alkuun. Siksi monivaiheinen virheenminimointimenetelmämme (MEM) voidaan muotoilla seuraavasti:
Yllä olevat ongelmat on iteratiivisesti optimoitu viittaamalla EM:n menetelmiin. Projisoitua gradienttilaskua (PGD) käytetään ratkaisemaan kohinan minimointiongelma yhtälössä.
Vähentääksemme kohinan liiallista sovittamista puhtaaseen tekstitykseen, parannamme niitä sekoittamalla puhtaita tekstityksiä erissä ja lisäämällä oikein osuvia tekstilaukaisimia. Siksi, kun kohtaat semanttisesti virheellisiä tekstityksiä, tämä syntyvä kohina voi keskittyä enemmän tekstillisiin laukaisuihin kuin osittaisiin tekstityksiin. Siksi voimme saada optimaalisen δ seuraavan iteratiivisen kaavan mukaan:
Tekstiliipaisimen minimointiongelmaa varten liipaisusekvenssi alustetaan ensin toistamalla sana "the" tai "a" kaikkien syötteiden edessä.
Lisäksi tekstitriggeri on optimoitu HotFlipin perusteella ja merkin korvaamisen vaikutus on likimääräinen gradientin mukaan. Päivittämällä kunkin liipaisutunnuksen upotus minimoidaksesi CLIP-häviön ensimmäisen asteen Taylor-likiarvon nykyisen tunnuksen upotuksen ympärillä:
Lopuksi voimme käyttää sädehakua jokaisen optimaalisen tekstilaukaisimen etsimiseen ehdokastunnisteiden joukosta. Otamme huomioon k:n parasta ehdokasta yllä olevasta yhtälöstä ja etsimme edestä taaksepäin kussakin flip-flopin paikassa ja arvostamme jokaisen nipun käyttämällä nykyisen erän tappiota.
Noudatamme Wallacen et al. lähestymistapaa ja käytämme pieniä nippukokoja tehokkaaseen laskentaan. Kuvassa 3 näemme puitteet MEM:n käyttämiselle multimodaalisten oppimattomien näytteiden luomiseen.
Kokeellinen vaikutus
Tehokas suojaus
Taulukko 1: Useilla menetelmillä luotujen oppimattomien näytteiden tehokkuuden vertailu eri tietosarjoissa
Taulukossa 1 on esitetty niiden hakutulokset eri tietosarjoista. On selvää, että UAP ei tarjoa juuri minkäänlaista suojaa multimodaalisille tiedoille, kun taas EM:llä on jonkin verran suojaustasoa.
MEM tarjoaa kuitenkin aina vahvan suojan multimodaalisille tiedoille, mikä vähentää hakusuorituskykyä lähes puoleen satunnaisen arvauksen tehosta. Erityisesti MEM-5 saavutti suuremman vaikutuksen hakkerimallin suorituskyvyn alentamiseen kuin MEM-3 sen pidemmän tekstilaukaisimen ansiosta.
Kuvassa 4 on esitetty harjoitteluhäviön vähenemiskäyrät eri menetelmillä luotujen ei-oppivien näytteiden harjoitteluun ja puhtaan testisarjan haku Medr. Kohdasta (a) voidaan havaita, että vaikka EM saa häviön putoamaan nopeammin kuin normaali harjoittelu, menetelmillämme MEM-3 ja MEM-5 on pienemmät häviöt ensimmäisellä aikakaudella, mikä osoittaa, että malli voi oppia pikakuvakkeet nopeasti.
Kohdasta (b) havaitsemme, että kaikkien mallien Medr on pienempi kuin satunnaisesti arvattaessa, mutta oppimattomilla näytteillä harjoitettu malli lopettaa oppimisen nopeimmin, saavuttaa huonoimmat hakutulokset, eikä kasva oppimisen edetessä. Yllä olevat havainnot ovat yhdenmukaisia taulukon 1 tulosten kanssa.
Kuva 4: Harjoitushäviön käyrämuutostietueet ja testiindikaattori Medr
Siirrettävyys eri mallien välillä
Taulukko 2: ResNet50-malliin perustuvalla MEM-3-menetelmällä luotujen ei-oppivien näytteiden siirrettävyys eri malliarkkitehtuureissa
Oletamme, että tietosuoja on täysin musta laatikko -asetus, jossa suojelija ei ole tietoinen hakkerimallin arkkitehtuurista. Siksi arvioimme ResNet50-välityspalvelinmallilla luodun MEM:n suorituskykyä eri hakkerointimalleissa, mukaan lukien ResNet101 ja ViT. Tulokset on esitetty taulukossa 2. Huomasimme, että nämä näytteet voidaan siirtää onnistuneesti eri mallien välillä ja ne voivat heikentää CLIP-mallien suorituskykyä.
Visuaalinen analyysi
Kuva 5: Huomiokartan visualisointi: neljän mallin vertailu puhtaalla datalla ja oppimattomilla näytteillä eri menetelmillä
Kuvassa 5 on esitetty eri menetelmillä luotujen puhtaalle datalle ja ei-oppimattomille näytteille koulutettujen mallien huomiolämpökartat. Kuvissa käytämme Grad-CAM:ia mallin huomion visualisoimiseen, kun taas tekstissä käytämme Integrated Gradients -toimintoa huomion visualisoimiseen. Mitä vaaleampi väri, sitä enemmän malli kiinnittää huomion.
On syytä huomata, että kuvan 5(1), (2) ja (3) malleissa kaikki keskittyvät keskialueelle, joka liittyy tekstityksiin.
MEM-3:n luomilla näytteillä kuvassa 5(4) harjoitettu malli ei kuitenkaan pysty tunnistamaan puhtaita kuvia tarkasti, koska se oppii vain kohinaominaisuudet. Myös tekstissä kolmen ensimmäisen mallit keskittyvät avainsanaan "lasi", kun taas jälkimmäisen malli keskittyy kolmeen ensimmäiseen sanaan. Tämä voi johtua siitä, että MEM-3 optimoi aina kohinan ja kolmen ensimmäisen sanan laukaisee pikakuvakkeiden luomiseen.
Nämä visualisointitulokset osoittavat, että EM ja UAP eivät ole tehokkaita suojaamaan multimodaalista dataa, kun taas MEM on merkittävästi tehokas.
Kuva 6: Puhtaiden näytteiden ja MEM-3-optimoitujen oppimattomien näytteiden t-SNE-visualisointi puhtaassa mallissa ja myrkytetyssä mallissa
Kuvassa 6 visualisoimme puhtaiden näytteiden ominaisuusjakauman normaalimallissa ja MEM3:lla optimoitujen oppimattomien näytteiden ominaisuusjakauman myrkytetyllä mallilla. Käytämme kolmioita kuvaamaan kuvan ominaisuuksia, ympyröitä edustamaan tekstin ominaisuuksia ja sama väri edustaa viittä identtistä mutta muunnettua kuvaa tietojoukossa ja niitä vastaavia erilaisia kuvauksia.
Kohdasta (a) voidaan havaita, että puhtaassa mallissa samat kuvat ja tekstit klusteroituvat sisäisesti yhteen ja vastaavat kuva-teksti-parit ovat lähellä toisiaan.
Kuitenkin kohdassa (b) sama kuva ja teksti eroavat toisistaan, ja vain kuva- ja tekstiparit ovat lähellä toisiaan. Tämä osoittaa, että menetelmämme edistää tehokkaasti mallia oppimaan pikakuvakkeita kohinan ja tekstin liipaisujen välillä.
Tapaustutkimus: Kasvojen yksityisyyden suoja
Teimme tapaustutkimuksen soveltaen MEM-kohinaamme todelliseen tilanteeseen: henkilökohtaisten kasvojen kuvien ja niihin liittyvien tietojen, kuten nimien, suojaamiseen sosiaalisen median alustoilla.
Teimme kokeita käyttämällä PubFig-tietokantaa, joka on suuri reaalimaailman kasvotietojoukko, joka sisältää 58 797 kuvaa 200 henkilöstä, jotka on kerätty Internetistä. Hakuarviointia varten valitsemme satunnaisesti yhden kuvan jokaisesta julkkiksesta testisarjaksi ja käytämme kaikkia jäljellä olevia kuvia harjoitteluun.
Realistista hienosäätämistä varten muutimme niiden nimet ja toimitimme joukon tekstimalleja, jotka liittyvät tähän nimeen tekstityksen luomista varten. Tämän jälkeen luomme MEM:n avulla oppimattomia näytteitä ja arvioimme niitä käyttämällä erilaisia hakkerointimalleja. Tulokset on esitetty taulukossa 3.
MEM estää näitä hienosäädettyjä malleja oppimasta korrelaatioita kasvojen ja nimen piirteiden välillä, mikä estää tarkan henkilöhaun testisarjasta.
Taulukko 3: ResNet50-hienosäädön luomien oppimattomien näytteiden suojavaikutus erilaisissa esikoulutetuissa malleissa
Johtopäätös
Tässä artikkelissa tutkimme multimodaalista tietosuojaa keskittyen erityisesti kuva-teksti-pareihin, joissa luomme multimodaalisia oppimattomia näytteitä estääksemme hyväksikäytön multimodaalisen kontrastiivisen oppimisen avulla. Laajennamme aiempia luokitusmenetelmiä tähän kontekstiin paljastaen rajoituksia, jotka johtuvat lisääntyneistä modaliteeteista ja hajaantuneesta tiedosta.
Näiden havaintojen valossa esittelemme uuden generatiivisen menetelmän, nimeltään Multi-step error minimization (MEM), joka perustuu EM-kehykseen. MEM luo tehokkaasti oikoteitä kohinan ja tekstin laukaisujen välille ja osoittaa siirrettävyyden eri hakkerointimallien välillä.
Lisäksi varmistamme lähestymistapamme tehokkuuden käyttämällä erilaisia visualisointityökaluja. Työmme avaa uuden suunnan, jonka odotetaan soveltuvan muihin modaliteettipareihin, kuten ääni-teksti- ja ääni-kuva-pareihin.
kirjailijasta
Tämän artikkelin kirjoittajat ovat Kiinan tiedeakatemian tietotekniikan instituutista, Nanyangin teknologisesta yliopistosta, Singaporen kansallisesta yliopistosta ja Sun Yat-senin yliopistosta. Kirjoittajaluettelo: Liu Xinwei, Jia Xiaojun, Xunyuan, Liang Siyuan, Cao Xiaochun.
Heistä ensimmäinen kirjailija Liu Xinwei on tohtoriopiskelija Kiinan tiedeakatemian tietotekniikan instituutissa. Vastaavat kirjoittajat ovat professori Cao Xiaochun Sun Yat-senin yliopistosta ja tutkijatohtori Jia Xiaojun Nanyangin teknillisestä yliopistosta.
Viitteet:
https://scst.sysu.edu.cn/members/caoxiaochun.html
https://jiaxiaojunqaq.github.io
Kerää ja järjestele viimeisimmät uutiset ja tee ne kaikkien tarkastettavaksi ilmaiseksi.
