berita

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Laporan Kebijaksanaan Baru

Editor: LRST Jadi ngantuk

[Pengantar Kebijaksanaan Baru] Para peneliti mengusulkan metode minimalisasi kesalahan multi-langkah (MEM) baru untuk menghasilkan sampel multi-modal yang tidak dapat dipelajari guna melindungi data pribadi dari penyalahgunaan oleh model pembelajaran kontrastif multi-modal. Dengan mengoptimalkan noise gambar dan pemicu teks, metode MEM secara efektif menyesatkan model, mengurangi kemampuan pembelajarannya pada data pribadi, dan menunjukkan kemampuan transfer yang kuat antar model yang berbeda.

Pembelajaran kontrastif multimodal (seperti CLIP) telah mencapai kemajuan signifikan dalam klasifikasi zero-shot dengan belajar dari jutaan pasangan teks gambar yang diambil dari Internet.

Namun, ketergantungan ini menimbulkan risiko privasi, karena peretas dapat mengeksploitasi data gambar-teks untuk pelatihan model tanpa izin, yang mungkin mencakup informasi pribadi dan sensitif terhadap privasi.

Penelitian terbaru mengusulkan bahwa jalan pintas dengan perlindungan dapat dibuat dengan menghasilkan contoh-contoh yang tidak dapat dipelajari dengan menambahkan gangguan yang tidak terlihat pada gambar pelatihan.

Namun, metode ini dirancang untuk tugas klasifikasi modal tunggal dan masih kurang dieksplorasi dalam pembelajaran kontrastif multimodal. Makalah ini pertama-tama mengeksplorasi konteks ini dengan mengevaluasi kinerja metode yang ada pada pasangan keterangan gambar, dimana metode sebelumnya tidak dapat secara efektif menggeneralisasi data multi-modal karena kurangnya label dalam skenario ini, dan memiliki efektivitas yang terbatas dalam membuat jalan pintas.

Dalam makalah ini kami mengusulkan Minimisasi Kesalahan Multi-langkah (MEM), sebuah proses optimasi baru untuk menghasilkan sampel multi-modal yang tidak dapat dipelajari. Ini memperluas kerangka minimalisasi kesalahan (EM) untuk mengoptimalkan noise gambar dan pemicu teks tambahan, sehingga memperbesar ruang pengoptimalan dan secara efektif menyesatkan model untuk mempelajari pintasan antara fitur noise dan pemicu teks.

Tautan makalah: https://arxiv.org/abs/2407.16307

Tautan kode: https://github.com/thinwayliu/Multimodal-Unlearnable-Examples

Secara khusus, penurunan gradien yang diproyeksikan diadopsi untuk memecahkan masalah minimalisasi kebisingan, dan metode HotFlip digunakan untuk memperkirakan gradien dan mengganti kata untuk menemukan pemicu teks yang optimal.

Sejumlah besar eksperimen telah membuktikan keefektifan metode ini, hasil pengambilan setelah perlindungan hampir setengah dari hasil tebakan acak, dan sangat dapat ditransfer antar model yang berbeda. Makalah dan kode karya ini bersifat open source.

Latar belakang penelitian

Dalam beberapa tahun terakhir, dengan munculnya pembelajaran multimodal, para peneliti menjadi sangat tertarik pada model yang menggabungkan beberapa tipe data seperti teks, gambar, dan audio.

Diantaranya, pembelajaran kontrastif multi-modal telah menjadi metode penting dalam bidang ini. Model seperti CLIP dan ALIGN menggunakan pelatihan kerugian kontrastif untuk meningkatkan korelasi antara gambar dan teks, sehingga mengurangi kebutuhan akan anotasi manual, dan menunjukkan keunggulan dalam gambar. klasifikasi, potensi dalam tugas-tugas seperti pembangkitan.

Namun, pelatihan model ini bergantung pada data multimodal dalam jumlah besar, yang sering kali berasal dari kumpulan data yang tersedia untuk umum seperti CC12M, YFCC100M, dan LAION5B, namun kumpulan data ini mungkin masih belum mencukupi dan mungkin berisi sejumlah besar informasi pribadi sensitif. memicu Kekhawatiran tentang pelanggaran privasi.

Kami mempertimbangkan skenario yang berfokus pada menghasilkan sampel multimodal yang tidak dapat dipelajari untuk menangani risiko privasi yang terkait dengan pembelajaran kontrastif multimodal. Dalam skenario ini, kami fokus pada pasangan gambar-teks sebagai kumpulan data multimodal yang representatif. Diasumsikan bahwa pengguna sering berbagi foto pribadi dengan teks di platform media sosial seperti Facebook, termasuk beberapa informasi identitas pribadi seperti wajah, nama, nomor telepon, dan alamat.

Saat ini, peretas mencoba mengumpulkan sejumlah besar pasangan gambar-teks dari Internet dan melatih atau menyempurnakan model besar menggunakan teknik pembelajaran kontrastif multi-modal, seperti yang ditunjukkan pada bagian kiri Gambar 1.

Model-model ini secara tidak sengaja menangkap informasi pribadi dan fitur wajah pengguna, sehingga berpotensi menyebabkan kebocoran privasi. Pelindung bertujuan untuk mencegah data sensitif ini dari eksploitasi tidak sah dengan menerapkan metode yang tidak dapat dipelajari pada data multimodal. Metode ini membuat fitur pribadi pengguna tidak dapat diakses oleh model yang dilatih pada sampel multi-modal yang tidak dapat dipelajari, namun tidak menghalangi interaksi sosial pengguna setelah memposting gambar dan teks, seperti yang ditunjukkan pada bagian kanan Gambar 1.

Gambar 1: Postingan di Facebook dapat mengungkapkan informasi pribadi secara tidak sengaja (kiri), namun data dapat dilindungi dengan menggunakan sampel multi-modal yang tidak dapat dipelajari untuk mencegah model yang tidak sah mengakses fitur pribadi (kanan)

motivasi

Penelitian terbaru berfokus pada pencegahan penggunaan data yang tidak sah dalam klasifikasi gambar melalui contoh-contoh yang tidak dapat dipelajari. Metode ini menghalangi model mempelajari fitur gambar dengan menerapkan gangguan halus pada data, yang juga dikenal sebagai serangan ketersediaan atau serangan peracunan tanpa pandang bulu.

Hal ini terutama dibagi menjadi serangan model tanpa agen dan serangan model berbasis agen, di mana serangan model tanpa agen menghasilkan kebisingan pada tingkat piksel, sedangkan serangan model berbasis agen menghasilkan kebisingan tingkat fitur melalui model agen.

Namun, semua metode model bebas agen untuk klasifikasi gagal menghasilkan noise gambar dalam skenario multi-modal karena metode ini bertujuan untuk menemukan serangkaian pola noise spesifik untuk gambar yang terkait dengan kategori tertentu, sedangkan pasangan gambar-teks Tidak ada label di dalamnya. data.

Oleh karena itu, hanya metode berbasis model agen yang dapat diterapkan, dan kami memperluas dua metode umum untuk menghasilkan contoh multi-modal yang tidak dapat dipelajari (EM dan UAP).

Metode Meminimalkan Kesalahan Kebisingan (EM):

Metode Perturbasi Adversarial yang Tidak Ditargetkan (UAP):

Meskipun EM dan UAP dapat diterapkan pada pasangan subtitle gambar, keduanya gagal mencapai perlindungan yang efisien, terutama UAP. Kami mengeksplorasi alasan mengapa metode ini menurun efektivitasnya dari klasifikasi gambar ke pembelajaran kontrastif multi-modal.

Dalam klasifikasi gambar, EM dan UAP mengoptimalkan gambar dengan label yang sama agar menyatu dalam ruang fitur, menyebabkan model dengan mudah menangkap gangguan tambahan ini dan mempelajari korelasinya dengan label, seperti yang ditunjukkan pada Gambar 2(a).

Gambar 2: Perbandingan berbagai metode dalam klasifikasi tradisional dan pembelajaran kontrastif multimodal. Mewakili gambar dan merupakan judul berpasangan.Area biru adalah batas keputusan yang diharapkan untuk model yang dilatih pada sampel yang tidak dapat dipelajari

Namun dalam pembelajaran kontrastif multi-modal, agar dapat menerapkan metode EM dan UAP secara efektif, arah noise gambar yang dioptimalkan harus terkait dengan fitur teks, sehingga menyebabkan fitur gambar menjadi dekat atau jauh dari fitur tersebut. .

Namun, pasangan fitur teks yang berbeda mungkin tersebar luas di kumpulan data gambar-teks. Seperti yang ditunjukkan pada Gambar 2(b) dan (c), tidak seperti klasifikasi, model ini lebih sulit menangkap korelasi antara subtitle dan noise yang dihasilkan oleh EM dan UAP.

Pada Gambar 2(c), ruang keputusan pembelajaran UAP lebih kompleks, sehingga efek proteksinya kurang baik.

metode

Gambar 3: Kerangka metode minimalisasi kesalahan multi-langkah (MEM)

Karena penyebaran pasangan gambar-teks, metode berbasis model proksi masih belum dapat mencapai perlindungan yang efektif. Strategi peningkatan intuitif adalah mengoptimalkan gambar dan teks secara bersamaan untuk mendapatkan ruang pengoptimalan yang lebih besar dan mendorong konvergensinya pada pasangan berbeda di ruang fitur.

Oleh karena itu, representasi fitur yang dioptimalkan dari kumpulan gambar dan teks menunjukkan distribusi yang serupa, yang memfasilitasi model untuk mempelajari pintasannya, seperti yang ditunjukkan pada Gambar 2(d).

Untuk tujuan ini, kami menggunakan metode EM sebagai kerangka dasar dan mengusulkan untuk menambahkan pemicu teks pendek tambahan sebelum subtitle untuk meminimalkan kehilangan kontras, mengikuti pengaturan serangan permusuhan pada tugas teks. Metode kami dapat dikonseptualisasikan sebagai masalah optimasi berulang tiga tingkat, mirip dengan proses multi-langkah EM.

Secara khusus, kami mengoptimalkan noise δ dan pemicu teks t secara berurutan untuk mengurangi kehilangan kontras antara gambar yang dioptimalkan I + δ dan teks yang dioptimalkan T ⊕ t, di mana ⊕ mewakili pemicu yang dapat menyisipkan teks bersih T pada posisi berbeda.

Demi kesederhanaan, dalam artikel ini kami memilih untuk menambahkan pemicu teks di awal teks. Oleh karena itu, metode minimalisasi kesalahan multi-langkah (MEM) kami dapat dirumuskan sebagai:

Masalah di atas dioptimalkan secara iteratif dengan mengacu pada metode di EM. Penurunan gradien yang diproyeksikan (PGD) digunakan untuk menyelesaikan masalah minimalisasi kebisingan pada Persamaan.

Khususnya, untuk mengurangi noise yang berlebihan pada subtitle bersih, kami menyempurnakannya dengan mengacak subtitle bersih secara bertahap dan menambahkan pemicu teks yang cocok dengan benar. Oleh karena itu, ketika dihadapkan dengan subtitel yang salah secara semantik, gangguan yang dihasilkan ini mungkin lebih fokus pada pemicu tekstual daripada sebagian subtitel. Oleh karena itu, kita dapat memperoleh δ optimal berdasarkan rumus iteratif berikut:

Untuk masalah minimalisasi pemicu teks, urutan pemicu pertama kali diinisialisasi dengan mengulang kata "the" atau "a" di depan semua input.

Selain itu, pemicu teks dioptimalkan berdasarkan HotFlip dan efek penggantian tanda diperkirakan berdasarkan gradien. Dengan memperbarui penyematan setiap token pemicu untuk meminimalkan perkiraan Taylor orde pertama atas kerugian CLIP di sekitar penyematan token saat ini:

Terakhir, kita dapat menggunakan beam search untuk mencari setiap pemicu teks optimal dalam kumpulan tag kandidat. Kami mempertimbangkan k kandidat teratas dari persamaan di atas dan mencari dari depan ke belakang pada setiap posisi flip-flop dan menilai setiap bundel menggunakan kerugian pada batch saat ini.

Kami mengikuti pendekatan Wallace et al. dan menggunakan ukuran bundel kecil untuk komputasi yang efisien. Pada Gambar 3, kita dapat melihat kerangka penggunaan MEM untuk menghasilkan sampel multi-modal yang tidak dapat dipelajari.

Efek eksperimental

Perlindungan yang efektif

Tabel 1: Perbandingan efektivitas sampel yang tidak dapat dipelajari yang dihasilkan oleh beberapa metode pada kumpulan data yang berbeda

Tabel 1 menunjukkan hasil pengambilannya pada kumpulan data yang berbeda. Jelasnya, UAP hampir tidak memberikan perlindungan untuk data multi-modal, sementara EM menunjukkan tingkat perlindungan tertentu.

Namun, MEM kami selalu memberikan perlindungan yang kuat untuk data multi-modal, mengurangi kinerja pengambilan hingga hampir setengah dari tebakan acak. MEM-5, khususnya, mencapai efek yang lebih besar dalam mengurangi kinerja model peretas dibandingkan MEM-3 karena pemicu teksnya yang lebih panjang.

Gambar 4 menunjukkan kurva penurunan kerugian pelatihan untuk pelatihan pada sampel yang tidak dapat dipelajari yang dihasilkan dengan metode berbeda dan pengambilan Medr pada set pengujian bersih. Dapat diamati dari (a) bahwa meskipun EM membuat penurunan kerugian lebih cepat dibandingkan pelatihan normal, metode kami MEM-3 dan MEM-5 memiliki kerugian yang lebih kecil pada epoch pertama, yang menunjukkan bahwa model dapat mempelajari jalan pintas dengan cepat.

Dari (b) kami menemukan bahwa Medr semua model lebih rendah dibandingkan saat menebak secara acak, namun model yang dilatih pada sampel yang tidak dapat dipelajari berhenti belajar paling cepat, mencapai hasil pengambilan terburuk, dan tidak meningkat seiring bertambahnya zaman. Pengamatan di atas konsisten dengan hasil pada Tabel 1.

Gambar 4: Kurva perubahan catatan kerugian pelatihan dan indikator tes Medr

Portabilitas lintas model

Tabel 2: Transferabilitas sampel yang tidak dapat dipelajari yang dihasilkan oleh metode MEM-3 berdasarkan model ResNet50 pada arsitektur model yang berbeda

Kami berasumsi bahwa perlindungan data sepenuhnya merupakan pengaturan kotak hitam, di mana pelindung tidak mengetahui arsitektur model peretas. Oleh karena itu, kami mengevaluasi kinerja MEM yang dihasilkan pada model proxy ResNet50 pada model peretasan yang berbeda, termasuk ResNet101 dan ViT. Hasilnya ditunjukkan pada Tabel 2. Kami menemukan bahwa sampel ini berhasil ditransfer antar model yang berbeda dan dapat menurunkan kinerja model CLIP.

Analisis visual

Gambar 5: Visualisasi peta perhatian: membandingkan empat model pada data bersih dan sampel yang tidak dapat dipelajari dengan metode berbeda

Gambar 5 menunjukkan peta panas perhatian model yang dilatih pada data bersih dan sampel yang tidak dapat dipelajari yang dihasilkan dengan metode berbeda. Untuk gambar, kami menggunakan Grad-CAM untuk memvisualisasikan perhatian model, sedangkan untuk teks, kami menggunakan Gradien Terintegrasi untuk memvisualisasikan perhatian. Semakin terang warnanya, semakin tinggi perhatian sang model.

Perlu dicatat bahwa untuk model pada Gambar 5(1), (2) dan (3) semuanya fokus pada area tengah, yang terkait dengan subjudul.

Namun, model yang dilatih pada sampel yang dihasilkan oleh MEM-3 pada Gambar 5(4) tidak dapat mengidentifikasi gambar bersih secara akurat karena hanya mempelajari fitur noise. Juga dalam teks, model pada tiga kata pertama fokus pada kata kunci "kaca", sedangkan model pada model terakhir berfokus pada tiga kata pertama. Hal ini mungkin karena MEM-3 selalu mengoptimalkan noise dan tiga kata pertama pemicu untuk membuat pintasan.

Hasil visualisasi ini menunjukkan bahwa EM dan UAP tidak efektif dalam melindungi data multimodal, sedangkan MEM efektif secara signifikan.

Gambar 6: visualisasi t-SNE dari sampel bersih dan MEM-3 mengoptimalkan sampel yang tidak dapat dipelajari dalam model bersih dan model beracun

Kami memvisualisasikan distribusi fitur sampel bersih dalam model normal dan distribusi fitur sampel yang tidak dapat dipelajari yang dioptimalkan oleh MEM3 pada model beracun pada Gambar 6. Kami menggunakan segitiga untuk mewakili fitur gambar, lingkaran untuk mewakili fitur teks, dan warna yang sama mewakili lima gambar identik tetapi diubah dalam kumpulan data dan deskripsi berbeda yang terkait.

Dari (a) kita dapat mengamati bahwa dalam model bersih, gambar dan teks yang sama dikelompokkan bersama secara internal, dan pasangan gambar-teks yang bersesuaian berdekatan satu sama lain.

Namun, pada (b), gambar dan teks yang sama berbeda, dan hanya pasangan gambar dan teks yang berdekatan. Hal ini menunjukkan bahwa metode kami secara efektif mempromosikan model untuk mempelajari pintasan antara pemicu derau dan teks.

Studi Kasus: Perlindungan Privasi Wajah

Kami melakukan studi kasus yang menerapkan gangguan MEM pada skenario dunia nyata: melindungi gambar wajah pribadi dan informasi terkait seperti nama di platform media sosial.

Kami melakukan eksperimen menggunakan database PubFig, kumpulan data wajah besar di dunia nyata yang berisi 58.797 gambar dari 200 individu yang dikumpulkan dari Internet. Untuk evaluasi pengambilan, kami secara acak memilih satu foto dari masing-masing selebriti sebagai set tes dan menggunakan semua gambar yang tersisa untuk pelatihan.

Untuk penyesuaian yang realistis, kami mengubah nama mereka dan menyediakan satu set templat teks yang terkait dengan nama tersebut untuk pembuatan subtitle. Selanjutnya, kami menggunakan MEM untuk menghasilkan sampel yang tidak dapat dipelajari dan mengevaluasinya menggunakan model peretasan yang berbeda. Hasilnya ditunjukkan pada Tabel 3.

MEM mencegah model yang telah disesuaikan ini mempelajari korelasi antara fitur wajah dan nama, sehingga menghambat pengambilan orang yang akurat pada set pengujian.

Tabel 3: Efek perlindungan dari sampel yang tidak dapat dipelajari yang dihasilkan oleh penyesuaian ResNet50 pada berbagai model terlatih

Kesimpulan

Dalam makalah ini, kami mengeksplorasi perlindungan data multimodal, dengan fokus khusus pada pasangan gambar-teks, di mana kami menghasilkan sampel multimodal yang tidak dapat dipelajari untuk mencegah eksploitasi melalui pembelajaran kontrastif multimodal. Kami memperluas metode klasifikasi sebelumnya ke konteks ini, mengungkapkan keterbatasan karena peningkatan modalitas dan data yang tersebar.

Sehubungan dengan temuan ini, kami memperkenalkan metode generatif baru yang disebut minimalisasi kesalahan multi-langkah (MEM), yang didasarkan pada kerangka EM. MEM secara efektif membuat jalan pintas antara pemicu kebisingan dan teks dan menunjukkan kemampuan transfer antara model peretasan yang berbeda.

Selain itu, kami memverifikasi efektivitas pendekatan kami menggunakan berbagai alat visualisasi. Pekerjaan kami membuka arah baru yang diharapkan dapat diterapkan pada pasangan modalitas lain seperti pasangan audio-teks dan audio-gambar.

tentang Penulis

Penulis artikel ini berasal dari Institut Teknologi Informasi, Akademi Ilmu Pengetahuan Tiongkok, Universitas Teknologi Nanyang, Universitas Nasional Singapura, dan Universitas Sun Yat-sen. Daftar penulis: Liu Xinwei, Jia Xiaojun, Xunyuan, Liang Siyuan, Cao Xiaochun.

Di antara mereka, penulis pertama Liu Xinwei adalah mahasiswa doktoral di Institut Teknologi Informasi, Akademi Ilmu Pengetahuan Tiongkok. Penulis terkait adalah Profesor Cao Xiaochun dari Universitas Sun Yat-sen dan peneliti pascadoktoral Jia Xiaojun dari Universitas Teknologi Nanyang.

Referensi:

https://scst.sysu.edu.cn/members/caoxiaochun.html

https://jiaxiaojunqaq.github.io