Новости

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Новый отчет мудрости

Редактор: LRST Так хочется спать

[Введение в новую мудрость] Исследователи предлагают новый метод многоэтапной минимизации ошибок (MEM) для создания мультимодальных необучаемых образцов для защиты личных данных от злоупотреблений с помощью мультимодальных контрастных моделей обучения. Оптимизируя шум изображения и текстовые триггеры, метод MEM эффективно вводит модель в заблуждение, снижает ее способность к обучению на частных данных и демонстрирует хорошую переносимость между различными моделями.

Мультимодальное контрастивное обучение (такое как CLIP) достигло значительного прогресса в классификации с нулевым результатом, обучаясь на миллионах пар изображений и подписей, взятых из Интернета.

Однако такая зависимость создает риски для конфиденциальности, поскольку хакеры могут без разрешения использовать изображения и текстовые данные для обучения моделей, которые могут включать личную и конфиденциальную информацию.

Недавняя работа предполагает, что ярлыки для защиты могут быть установлены путем создания необучаемых примеров путем добавления незаметных возмущений к обучающим изображениям.

Однако эти методы предназначены для одномодальных задач классификации и остаются недостаточно изученными в мультимодальном контрастивном обучении. В данной статье этот контекст сначала исследуется путем оценки производительности существующих методов на парах изображение-подпись, где предыдущие методы не могут эффективно обобщаться на мультимодальные данные из-за отсутствия меток в этом сценарии и имеют ограниченную эффективность при создании ярлыков.

В этой статье мы предлагаем многоэтапную минимизацию ошибок (MEM), новый процесс оптимизации для создания мультимодальных необучаемых выборок. Он расширяет структуру минимизации ошибок (EM) для оптимизации шума изображения и дополнительных текстовых триггеров, тем самым увеличивая пространство оптимизации и эффективно вводя модель в заблуждение, заставляя ее изучать ярлыки между шумовыми функциями и текстовыми триггерами.

Ссылка на статью: https://arxiv.org/abs/2407.16307.

Ссылка на код: https://github.com/thinwayliu/Multimodal-Unlearnable-Examples.

В частности, для решения проблемы минимизации шума применяется прогнозируемый градиентный спуск, а метод HotFlip используется для аппроксимации градиента и замены слов для поиска оптимального текстового триггера.

Большое количество экспериментов доказало эффективность метода, результаты поиска после защиты почти вдвое меньше результатов случайного угадывания, и он легко переносится между разными моделями. Документ и код этой работы имеют открытый исходный код.

Предыстория исследования

В последние годы, с развитием мультимодального обучения, исследователи стали проявлять большой интерес к моделям, сочетающим несколько типов данных, таких как текст, изображения и аудио.

Среди них важным методом в этой области стало мультимодальное контрастное обучение. Такие модели, как CLIP и ALIGN, используют контрастивное обучение с потерями для улучшения корреляции между изображениями и текстом, тем самым уменьшая необходимость ручного аннотирования и демонстрируя преимущества изображений. классификация, потенциал в таких задачах, как генерация.

Однако обучение этих моделей опирается на большие объемы мультимодальных данных, которые часто поступают из общедоступных наборов данных, таких как CC12M, YFCC100M и LAION5B, но этих наборов данных все равно может быть недостаточно и они могут содержать большое количество конфиденциальной личной информации. вызывая опасения по поводу нарушения конфиденциальности.

Мы рассматриваем сценарий, который фокусируется на создании мультимодальных необучаемых выборок, чтобы справиться с рисками конфиденциальности, связанными с мультимодальным контрастным обучением. В этом сценарии мы фокусируемся на парах изображение-текст как на репрезентативных мультимодальных наборах данных. Предполагается, что пользователи часто делятся личными фотографиями с текстом на платформах социальных сетей, таких как Facebook, включая некоторую личную идентифицирующую информацию, такую ​​​​как лица, имена, номера телефонов и адреса.

В настоящее время хакеры пытаются собрать большое количество таких пар изображение-текст из Интернета и обучать или точно настраивать большие модели, используя методы мультимодального контрастного обучения, как показано в левой половине рисунка 1.

Эти модели непреднамеренно фиксируют личную информацию и черты лица пользователей, что приводит к потенциальной утечке конфиденциальной информации. Защитники стремятся предотвратить несанкционированное использование этих конфиденциальных данных, применяя необучаемые методы к мультимодальным данным. Эти методы делают частные функции пользователя недоступными для модели, обученной на таких мультимодальных необучаемых образцах, при этом не препятствуя социальному взаимодействию пользователя после публикации изображений и текстов, как показано в правой половине рисунка 1.

Рисунок 1. Публикации на Facebook могут непреднамеренно раскрыть личную информацию (слева), но использование мультимодальных необучаемых образцов может защитить данные и предотвратить доступ неавторизованных моделей к частным функциям (справа).

мотивация

Недавние исследования направлены на предотвращение несанкционированного использования данных при классификации изображений с помощью необучаемых примеров. Эти методы не позволяют модели изучить особенности изображения, применяя к данным тонкие искажения, также известные как атаки доступности или неизбирательные атаки отравления.

В основном они делятся на атаки на модели без агентов и атаки на основе моделей, при которых атаки на основе моделей без агентов генерируют шум на уровне пикселей, в то время как атаки на основе агентов генерируют шум на уровне функций через модель агента.

Однако все безагентные модельные методы классификации не способны генерировать шум изображения в мультимодальных сценариях, поскольку эти методы направлены на поиск ряда конкретных шаблонов шума для изображений, относящихся к определенной категории, в то время как пары изображение-текст не содержат меток. данные.

Следовательно, можно применять только методы, основанные на модели агента, и мы расширяем два типичных метода для создания необучаемых мультимодальных примеров (EM и UAP).

Метод минимизации шума (EM):

Метод нецелевого состязательного возмущения (UAP):

Хотя EM и UAP можно применять к парам изображение-субтитры, они не обеспечивают эффективной защиты, особенно UAP. Мы исследуем причины, по которым эти методы снижают эффективность от классификации изображений до мультимодального контрастного обучения.

При классификации изображений EM и UAP оптимизируют изображения с одной и той же меткой для сходимости в пространстве признаков, благодаря чему модель легко улавливает эти дополнительные шумы и изучает корреляцию с меткой, как показано на рисунке 2 (а).

Рисунок 2: Сравнение различных методов традиционной классификации и мультимодального контрастного обучения. Представляет изображение и является парным заголовком.Синяя область — ожидаемая граница принятия решения для модели, обученной на необучаемых образцах.

Но в мультимодальном контрастивном обучении, чтобы эффективно применять методы EM и UAP, направление оптимизированного шума изображения должно быть связано с особенностями текста, в результате чего элементы изображения становятся либо близкими, либо далекими от этих функций. .

Однако различные пары текстовых объектов могут быть широко разбросаны в наборах данных изображение-текст. Как показано на рисунках 2(b) и (c), в отличие от классификации, модели сложнее уловить корреляцию между субтитрами и шумом, генерируемым EM и UAP.

На рисунке 2(c) пространство принятия решений по обучению UAP более сложное, поэтому его защитный эффект не очень хорош.

метод

Рисунок 3. Структура многоэтапного метода минимизации ошибок (MEM).

Из-за дисперсии пар изображение-текст методы, основанные на прокси-моделях, по-прежнему не могут обеспечить эффективную защиту. Интуитивная стратегия улучшения заключается в одновременной оптимизации изображений и текста, чтобы получить большее пространство оптимизации и способствовать их сходимости в разных парах в пространстве признаков.

Таким образом, оптимизированные представления функций наборов изображений и текста демонстрируют схожие распределения, что помогает модели изучить их ярлыки, как показано на рисунке 2 (d).

С этой целью мы принимаем метод EM в качестве базовой основы и предлагаем добавлять дополнительные короткие текстовые триггеры перед субтитрами, чтобы минимизировать потерю контраста, после настройки состязательных атак на текстовые задачи. Наш метод можно представить как трехуровневую итеративную задачу оптимизации, аналогичную многоэтапному процессу EM.

В частности, мы оптимизируем шум δ и текстовый триггер t последовательно, чтобы уменьшить потерю контраста между оптимизированным изображением I + δ и оптимизированным текстом T ⊕ t, где ⊕ представляет собой триггер, который может вставлять чистый текст T в разные позиции.

Для простоты в этой статье мы решили добавить текстовый триггер в начале текста. Следовательно, наш метод многоэтапной минимизации ошибок (MEM) можно сформулировать следующим образом:

Вышеупомянутые проблемы итеративно оптимизируются путем обращения к методам EM. Проецируемый градиентный спуск (PGD) используется для решения проблемы минимизации шума в уравнении.

В частности, чтобы уменьшить перенастройку шума на чистые субтитры, мы улучшаем их, шифруя чистые субтитры в пакетном режиме и добавляя правильно подобранные текстовые триггеры. Таким образом, при столкновении с семантически неверными субтитрами этот генерируемый шум может больше фокусироваться на текстовых триггерах, а не на частичных субтитрах. Следовательно, мы можем получить оптимальное δ по следующей итерационной формуле:

Для задачи минимизации текстового триггера последовательность триггера сначала инициализируется путем повторения слова «the» или «a» перед всеми входными данными.

Кроме того, текстовый триггер оптимизирован на основе HotFlip и эффект замены метки аппроксимируется градиентом. Обновив встраивание каждого запускающего токена, чтобы минимизировать аппроксимацию Тейлора первого порядка потерь CLIP вокруг текущего встраивания токена:

Наконец, мы можем использовать лучевой поиск для поиска каждого оптимального текстового триггера в наборе потенциальных тегов. Мы рассматриваем k лучших кандидатов из приведенного выше уравнения, выполняем поиск спереди назад в каждой позиции триггера и оцениваем каждый пакет, используя потери в текущей партии.

Мы следуем подходу Уоллеса и др. и используем небольшие размеры пакетов для эффективных вычислений. На рисунке 3 мы можем видеть структуру использования нашей MEM для генерации мультимодальных необучаемых образцов.

Экспериментальный эффект

Эффективная защита

Таблица 1. Сравнение эффективности необучаемых выборок, созданных несколькими методами на разных наборах данных

В таблице 1 показаны результаты поиска по различным наборам данных. Очевидно, что UAP практически не обеспечивает защиту мультимодальных данных, в то время как EM демонстрирует некоторый уровень защиты.

Однако наша MEM всегда обеспечивает надежную защиту мультимодальных данных, снижая производительность извлечения почти вдвое по сравнению со случайным угадыванием. MEM-5, в частности, достиг большего эффекта в снижении производительности хакерской модели, чем MEM-3, благодаря более длинному текстовому триггеру.

На рисунке 4 показаны кривые снижения потерь при обучении на необучаемых выборках, сгенерированных различными методами, и извлечении Medr на чистом тестовом наборе. Из (а) видно, что, хотя EM снижает потери быстрее, чем при обычном обучении, наши методы MEM-3 и MEM-5 имеют меньшие потери в первой эпохе, что показывает, что модель может быстро обучаться сокращенным методам.

Из (b) мы обнаруживаем, что Medr всех моделей ниже, чем при случайном угадывании, но модель, обученная на необучаемых выборках, перестает обучаться быстрее всего, достигает худших результатов поиска и не увеличивается с увеличением эпохи. Учитесь лучше дальше. Приведенные выше наблюдения согласуются с результатами, представленными в таблице 1.

Рисунок 4: Записи изменения кривой потери обучения и тестовый индикатор Medr

Переносимость между моделями

Таблица 2. Перенос необучаемых выборок, созданных методом MEM-3 на основе модели ResNet50, на различные архитектуры моделей.

Мы предполагаем, что защита данных представляет собой полностью «черный ящик», где защитник не знает об архитектуре хакерской модели. Поэтому мы оцениваем производительность MEM, сгенерированного на прокси-модели ResNet50, на разных моделях взлома, включая ResNet101 и ViT. Результаты показаны в таблице 2. Мы обнаружили, что эти образцы могут быть успешно перенесены между разными моделями и могут ухудшить производительность моделей CLIP.

Визуальный анализ

Рисунок 5. Визуализация карты внимания: сравнение четырех моделей на чистых данных и необучаемых образцах разными методами.

На рисунке 5 показаны тепловые карты внимания моделей, обученных на чистых данных и необучаемых образцах, созданных различными методами. Для изображений мы используем Grad-CAM для визуализации внимания модели, а для текста мы используем интегрированные градиенты для визуализации внимания. Чем светлее цвет, тем выше внимание модели.

Стоит отметить, что в моделях на рис. 5(1), (2) и (3) все внимание сосредоточено на центральной области, связанной с субтитрами.

Однако модель, обученная на образцах, сгенерированных MEM-3 на рисунке 5 (4), не может точно идентифицировать чистые изображения, поскольку она изучает только характеристики шума. Также в тексте модели в первых трех фокусируются на ключевом слове «стекло», а модель во втором — на первых трех словах. Это может быть связано с тем, что MEM-3 всегда оптимизирует шум и первые три слова. триггеры для создания ярлыков.

Эти результаты визуализации показывают, что EM и UAP не эффективны для защиты мультимодальных данных, тогда как MEM значительно эффективен.

Рисунок 6: Визуализация t-SNE чистых образцов и оптимизированных для MEM-3 необучаемых образцов в чистой модели и отравленной модели.

Мы визуализируем распределение признаков чистых образцов в рамках нормальной модели и распределение признаков необучаемых образцов, оптимизированных с помощью MEM3, в отравленной модели на рисунке 6. Мы используем треугольники для обозначения элементов изображения, круги для обозначения текстовых элементов, а один и тот же цвет представляет пять идентичных, но преобразованных изображений в наборе данных и соответствующие им разные описания.

Из (а) мы можем видеть, что в чистой модели одни и те же изображения и тексты внутренне сгруппированы вместе, а соответствующие пары изображение-текст близки друг к другу.

Однако в (б) одни и те же изображение и текст расходятся, и только пары изображений и текста находятся близко друг к другу. Это показывает, что наш метод эффективно помогает модели изучить ярлыки между шумовыми и текстовыми триггерами.

Практический пример: защита конфиденциальности лиц

Мы провели тематическое исследование, применив наш MEM-шум к реальному сценарию: защита личных изображений лиц и связанной с ними информации, такой как имена, на платформах социальных сетей.

Мы провели эксперименты с использованием базы данных Pubfig — большого набора данных о реальных лицах, содержащего 58 797 изображений 200 человек, собранных из Интернета. Для поисковой оценки мы случайным образом выбираем по одной фотографии каждой знаменитости в качестве тестового набора и используем все оставшиеся изображения для обучения.

Для реалистичной тонкой настройки мы изменили их имена и предоставили набор текстовых шаблонов, связанных с этим именем, для генерации субтитров. Впоследствии мы используем MEM для создания необучаемых образцов и их оценки с использованием различных моделей взлома. Результаты показаны в таблице 3.

MEM не позволяет этим точно настроенным моделям изучить корреляции между чертами лица и имени, тем самым препятствуя точному обнаружению человека на тестовом наборе.

Таблица 3. Защитный эффект необучаемых выборок, созданных в результате тонкой настройки ResNet50 на различных предварительно обученных моделях

Заключение

В этой статье мы исследуем мультимодальную защиту данных, уделяя особое внимание парам изображение-текст, где мы генерируем мультимодальные необучаемые образцы, чтобы предотвратить эксплуатацию посредством мультимодального контрастного обучения. Мы расширяем предыдущие методы классификации на этот контекст, выявляя ограничения из-за увеличения модальностей и разбросанных данных.

В свете этих результатов мы представляем новый генеративный метод, называемый многоэтапной минимизацией ошибок (MEM), который основан на структуре EM. MEM эффективно устанавливает ярлыки между шумовыми и текстовыми триггерами и демонстрирует возможность переноса между различными моделями взлома.

Кроме того, мы проверяем эффективность нашего подхода с помощью различных инструментов визуализации. Наша работа открывает новое направление, которое, как ожидается, будет применимо к другим парам модальности, таким как пары аудио-текст и аудио-изображение.

об авторе

Авторы этой статьи представляют Институт информационных технологий Китайской академии наук, Наньянский технологический университет, Национальный университет Сингапура и Университет Сунь Ятсена. Список авторов: Лю Синьвэй, Цзя Сяоцзюнь, Сюньюань, Лян Сиюань, Цао Сяочунь.

Среди них первый автор Лю Синьвэй — аспирант Института информационных технологий Китайской академии наук. Соответствующими авторами являются профессор Цао Сяочунь из Университета Сунь Ятсена и научный сотрудник Цзя Сяоцзюнь из Наньянского технологического университета.

Использованная литература:

https://scst.sysu.edu.cn/members/caoxiaochun.html

https://jiaxiaojunqaq.github.io