Исследователи Массачусетского технологического института создали квантовый протокол безопасности, который повышает конфиденциальность данных в облачном глубоком обучении.
Кодируя данные в лазерный свет, протокол обеспечивает безопасную передачу данных без ущерба для точности моделей. Первоначальные тесты продемонстрировали точность 96% при полной защите пользовательских данных и деталей модели, что обещает прорыв в безопасных вычислениях ИИ.
Глубокое обучение и квантовая безопасность
Модели глубокого обучения нашли применение во многих секторах, включая диагностику в здравоохранении и финансовое прогнозирование. Из-за высоких вычислительных требований эти модели зависят от надежных облачных серверов.
Однако такая зависимость от облачных вычислений влечет за собой значительные риски безопасности. Это особенно важно в таких чувствительных областях, как здравоохранение, где опасения относительно конфиденциальности данных пациентов могут удерживать больницы от внедрения инструментов ИИ.
Для решения этой насущной проблемы исследователи Массачусетского технологического института разработали протокол безопасности, который использует квантовые свойства света, чтобы гарантировать, что данные, отправляемые на облачный сервер и с него, остаются защищенными во время вычислений глубокого обучения.
Кодируя данные в лазерном свете, используемом в волоконно-оптических системах связи, протокол использует фундаментальные принципы квантовой механики, что делает невозможным для злоумышленников скопировать или перехватить информацию без обнаружения
Глубокое обучение и квантовая безопасность
Модели глубокого обучения нашли применение во многих секторах, включая диагностику в здравоохранении и финансовое прогнозирование. Из-за высоких вычислительных требований эти модели зависят от надежных облачных серверов.
Однако такая зависимость от облачных вычислений влечет за собой значительные риски безопасности. Это особенно важно в таких чувствительных областях, как здравоохранение, где опасения относительно конфиденциальности данных пациентов могут удерживать больницы от внедрения инструментов ИИ.
Для решения этой насущной проблемы исследователи Массачусетского технологического института разработали протокол безопасности, который использует квантовые свойства света, чтобы гарантировать, что данные, отправляемые на облачный сервер и с него, остаются защищенными во время вычислений глубокого обучения.
Кодируя данные в лазерном свете, используемом в волоконно-оптических системах связи, протокол использует фундаментальные принципы квантовой механики, что делает невозможным для злоумышленников скопировать или перехватить информацию без обнаружения
Более того, эта техника гарантирует безопасность, не ставя под угрозу точность моделей глубокого обучения. В ходе испытаний исследователь продемонстрировал, что его протокол может поддерживать точность 96 процентов, обеспечивая при этом надежные меры безопасности.
«Модели глубокого обучения, такие как GPT-4, обладают беспрецедентными возможностями, но требуют огромных вычислительных ресурсов. Наш протокол позволяет пользователям использовать эти мощные модели, не ставя под угрозу конфиденциальность своих данных или проприетарную природу самих моделей», — говорит Кфир Сулимани, постдок Массачусетского технологического института в Исследовательской лаборатории электроники (RLE) и ведущий автор статьи об этом протоколе безопасности.
К Сулимани в работе над статьей присоединились Шри Кришна Вадламани, постдок MIT; Райан Хамерли, бывший постдок, ныне работающий в NTT Research, Inc.; Прахлад Айенгар, аспирант кафедры электротехники и компьютерных наук (EECS); и старший автор Дирк Энглунд, профессор EECS, главный исследователь Группы квантовой фотоники и искусственного интеллекта и RLE. Исследование было недавно представлено на Ежегодной конференции по квантовой криптографии.
Внедрение квантовых принципов для защиты данных
Сценарий облачных вычислений, на котором сосредоточились исследователи, включает две стороны — клиента, у которого есть конфиденциальные данные, например медицинские изображения, и центральный сервер, который управляет моделью глубокого обучения.
Клиент хочет использовать модель глубокого обучения для составления прогноза, например, о наличии у пациента рака на основе медицинских изображений, не раскрывая при этом информацию о пациенте.
В этом сценарии необходимо отправить конфиденциальные данные для генерации прогноза. Однако в ходе процесса данные пациента должны оставаться в безопасности.
Кроме того, сервер не хочет раскрывать какие-либо части фирменной модели, на создание которой такая компания, как OpenAI, потратила годы и миллионы долларов.
Сценарий облачных вычислений, на котором сосредоточились исследователи, включает две стороны — клиента, у которого есть конфиденциальные данные, например медицинские изображения, и центральный сервер, который управляет моделью глубокого обучения.
Клиент хочет использовать модель глубокого обучения для составления прогноза, например, о наличии у пациента рака на основе медицинских изображений, не раскрывая при этом информацию о пациенте.
В этом сценарии необходимо отправить конфиденциальные данные для генерации прогноза. Однако в ходе процесса данные пациента должны оставаться в безопасности.
Кроме того, сервер не хочет раскрывать какие-либо части фирменной модели, на создание которой такая компания, как OpenAI, потратила годы и миллионы долларов.
«Обе стороны хотят что-то скрыть», — добавляет Вадламани.
В сфере цифровых вычислений злоумышленник может легко скопировать данные, отправленные с сервера или клиента.
С другой стороны, квантовая информация не может быть идеально скопирована. Исследователи используют это свойство, известное как принцип отсутствия клонирования, в своем протоколе безопасности.
Квантовая механика улучшает работу нейронных сетей
В протоколе исследователей сервер кодирует веса глубокой нейронной сети в оптическое поле с помощью лазерного света.
Нейронная сеть — это модель глубокого обучения, которая состоит из слоев взаимосвязанных узлов или нейронов, которые выполняют вычисления над данными. Веса — это компоненты модели, которые выполняют математические операции над каждым входом, по одному слою за раз. Выход одного слоя подается в следующий слой, пока последний слой не сгенерирует прогноз.
Сервер передает веса сети клиенту, который реализует операции для получения результата на основе своих личных данных. Данные остаются защищенными от сервера.
В то же время протокол безопасности позволяет клиенту измерять только один результат и не позволяет клиенту копировать веса из-за квантовой природы света.
Как только клиент передает первый результат на следующий уровень, протокол отменяет первый уровень, чтобы клиент не мог узнать ничего другого о модели.
С другой стороны, квантовая информация не может быть идеально скопирована. Исследователи используют это свойство, известное как принцип отсутствия клонирования, в своем протоколе безопасности.
Квантовая механика улучшает работу нейронных сетей
В протоколе исследователей сервер кодирует веса глубокой нейронной сети в оптическое поле с помощью лазерного света.
Нейронная сеть — это модель глубокого обучения, которая состоит из слоев взаимосвязанных узлов или нейронов, которые выполняют вычисления над данными. Веса — это компоненты модели, которые выполняют математические операции над каждым входом, по одному слою за раз. Выход одного слоя подается в следующий слой, пока последний слой не сгенерирует прогноз.
Сервер передает веса сети клиенту, который реализует операции для получения результата на основе своих личных данных. Данные остаются защищенными от сервера.
В то же время протокол безопасности позволяет клиенту измерять только один результат и не позволяет клиенту копировать веса из-за квантовой природы света.
Как только клиент передает первый результат на следующий уровень, протокол отменяет первый уровень, чтобы клиент не мог узнать ничего другого о модели.
«Вместо того, чтобы измерять весь входящий свет с сервера, клиент измеряет только тот свет, который необходим для работы глубокой нейронной сети и передачи результата в следующий слой. Затем клиент отправляет остаточный свет обратно на сервер для проверки безопасности», — объясняет Сулимани.
Из-за теоремы о неклонировании клиент неизбежно применяет крошечные ошибки к модели при измерении ее результата. Когда сервер получает остаточный свет от клиента, сервер может измерить эти ошибки, чтобы определить, произошла ли утечка какой-либо информации. Важно, что этот остаточный свет, как доказано, не раскрывает данные клиента.
Будущие направления и практическое применение
Современное телекоммуникационное оборудование обычно использует оптические волокна для передачи информации из-за необходимости поддерживать огромную пропускную способность на больших расстояниях. Поскольку это оборудование уже включает оптические лазеры, исследователи могут кодировать данные в свет для своего протокола безопасности без какого-либо специального оборудования.
Протестировав свой подход, исследователи обнаружили, что он может гарантировать безопасность сервера и клиента, позволяя при этом глубокой нейронной сети достигать точности в 96 процентов.
Крошечная часть информации о модели, которая просачивается, когда клиент выполняет операции, составляет менее 10 процентов от того, что понадобится злоумышленнику для восстановления любой скрытой информации. Работая в другом направлении, вредоносный сервер может получить только около 1 процента информации, которая ему понадобится для кражи данных клиента.
Современное телекоммуникационное оборудование обычно использует оптические волокна для передачи информации из-за необходимости поддерживать огромную пропускную способность на больших расстояниях. Поскольку это оборудование уже включает оптические лазеры, исследователи могут кодировать данные в свет для своего протокола безопасности без какого-либо специального оборудования.
Протестировав свой подход, исследователи обнаружили, что он может гарантировать безопасность сервера и клиента, позволяя при этом глубокой нейронной сети достигать точности в 96 процентов.
Крошечная часть информации о модели, которая просачивается, когда клиент выполняет операции, составляет менее 10 процентов от того, что понадобится злоумышленнику для восстановления любой скрытой информации. Работая в другом направлении, вредоносный сервер может получить только около 1 процента информации, которая ему понадобится для кражи данных клиента.
«Вы можете быть уверены, что безопасность обеспечена в обоих направлениях — от клиента к серверу и от сервера к клиенту», — говорит Сулимани.
«Несколько лет назад, когда мы разработали нашу демонстрацию распределенного вывода машинного обучения между главным кампусом MIT и лабораторией MIT Lincoln, меня осенило, что мы можем сделать что-то совершенно новое для обеспечения безопасности на физическом уровне, основываясь на многолетней работе квантовой криптографии, которая также была показана на этом испытательном стенде », — говорит Энглунд. «Однако было много глубоких теоретических проблем, которые нужно было преодолеть, чтобы увидеть, может ли быть реализована эта перспектива распределенного машинного обучения с гарантированной конфиденциальностью. Это стало возможным только после того, как к нашей команде присоединился Кфир, поскольку Кфир однозначно понимал как экспериментальные, так и теоретические компоненты для разработки единой структуры, лежащей в основе этой работы»
В будущем исследователи хотят изучить, как этот протокол можно применить к технике, называемой федеративным обучением, где несколько сторон используют свои данные для обучения центральной модели глубокого обучения. Его также можно использовать в квантовых операциях, а не в классических операциях, которые они изучали для этой работы, что может обеспечить преимущества как в точности, так и в безопасности.
«Эта работа умным и интригующим образом объединяет методы, взятые из областей, которые обычно не встречаются, в частности, глубокое обучение и квантовое распределение ключей. Используя методы из последнего, она добавляет уровень безопасности к первому, а также допускает то, что кажется реалистичной реализацией. Это может быть интересно для сохранения конфиденциальности в распределенных архитектурах. Я с нетерпением жду возможности увидеть, как протокол ведет себя в условиях экспериментальных несовершенств и его практической реализации», — говорит Элени Диаманти, директор по исследованиям CNRS в Университете Сорбонны в Париже, которая не принимала участия в этой работе.
ИСточник: scitechdaily | Теги: Квантовые технологии, безопасность, облачный ИИ