Abo
  • Services:

Deep Learning: Trainierte Modelle verraten private Informationen

Angreifer können aus bereits trainierten Deep-Learning-Modellen private und sicherheitskritische Informationen extrahieren. Das funktioniert besonders gut mit kurzem Text, zeigt eine Forschungsarbeit der UC Berkeley.

Artikel veröffentlicht am ,
Speichert ein Modell Kreditkartendaten, können diese von Angreifern extrahiert werden.
Speichert ein Modell Kreditkartendaten, können diese von Angreifern extrahiert werden. (Bild: frankieleon, flickr.com/CC-BY 2.0)

In der Vergangenheit haben unterschiedliche Angriffe auf maschinelles Lernen unter anderem über die Manipulation der Trainingsdaten oder des Trainings selbst funktioniert. Ein Team aus Forschern der UC Berkeley und weiteren Wissenschaftlern, etwa von Google Brain, zeigen nun, dass sich auch bereits trainierte Modelle für Angriffe eignen können und dies etwa genutzt werden kann, um private Informationen zu extrahieren.

Stellenmarkt
  1. Interhyp Gruppe, München
  2. IcamSystems GmbH, Leipzig

Möglich ist das über einen von dem Team beobachteten Prozess, den sie als "unintended memorization" bezeichnen. Das heißt, das Modell merkt sich bestimmte spezifische Informationen, ohne dass das von den Erstellern der Modelle beim Training beabsichtigt gewesen ist. Der Hauptautor der Untersuchung, Nicholas Carlini, sagte dem britischen Magazin The Register dazu, dass das Team "bis jetzt nicht wirklich weiß, warum neuronale Netzwerke sich diese Geheimnisse merken".

Es könne letztlich aber daran liegen, dass bestimmte Modelle dann besonders gut funktionieren, wenn deren Training mit sich oft wiederholenden Daten durchgeführt wird. Und das machen sich die Forscher in ihrer Arbeit zunutze, indem für einen Angriff gezielt nach eben diesen Informationen gesucht wird. Hilfreich sei hier auch, dass trainierte Modelle mit bekannten Daten sicherer Ergebnisse produzieren als mit unbekannten Eingabedaten zur Anwendung des Modells, so die Forscher.

Gleichförmige Daten helfen Angreifern

Für die Forschungsarbeit hat das Team zunächst selbst Modelle trainiert, etwa auf Grundlage des Enron-Corpus, in dessen unredigierter Fassung private Daten wie Kreditkartendaten oder Sozialversicherungsnummern enthalten sind. Aufbauend auf der beschriebenen Idee sind dann verschiedene Suchalgorithmen entstanden und genutzt worden, um diese Informationen bei einem sogenannten Black-Box-Zugriff herauszufiltern.

Dem Team ist es so gelungen, in unter einer Stunde drei private Datensätze zu extrahieren. Besonders nützlich für das von dem Team beschriebene Vorgehen ist dabei, dass die Kreditkarten- und Sozialversicherungsnummern einem bestimmten, relativ einfachen Muster folgen und vergleichsweise kurz sind. Damit dies funktioniert, müssten mit dem Modell darüber hinaus möglichst viele Ausgaben beobachtet werden können, sagte der Forscher Carlini zu The Register.

Schwierig bis unmöglich sei der beschriebene Angriff jedoch bei anderen Daten mit deutlich größerer Entropie, was zum Beispiel bei Bildern der Fall ist. Als Vorkehrungen gegen die gezeigten Angriffsmöglichkeiten empfiehlt das Team, private Daten nicht zu erheben oder zumindest vor dem Training zu entfernen, was aber nicht immer möglich und auch nicht immer zuverlässig sei. Das Konzept Differential Privacy helfe aber gut gegen die gezeigten Angriffe.



Anzeige
Spiele-Angebote
  1. 15,49€
  2. 31,49€
  3. 53,99€ statt 69,99€

Bruto 03. Mär 2018

Naja, beim Großhändler deiner Wahl. Und der haut erst mal alle Daten die er hat in sein...

Kleba 03. Mär 2018

Naja, ich finde es schon in Ordnung. Manche News sind halt tatsächlich nur ein...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Künstliche Intelligenz: Wie Computer lernen
    Künstliche Intelligenz
    Wie Computer lernen

    Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
    Von Miroslav Stimac

    1. Innotrans KI-System identifiziert Schwarzfahrer
    2. USA Pentagon fordert KI-Strategie fürs Militär
    3. KI Deepmind-System diagnostiziert Augenkrankheiten

      •  /