Los modelos de formación profundo se utilizan en muchos campos, desde el dictamen retrete hasta la previsión financiera. Sin confiscación, estos modelos requieren un uso tan intensivo de medios computacionales que requieren el uso de potentes servidores basados en la abundancia.
Esta dependencia de la computación en la abundancia plantea riesgos de seguridad importantes, en particular en áreas como la atención médica, donde los hospitales pueden dudar en utilizar herramientas de IA para analizar datos confidenciales de los pacientes adecuado a preocupaciones sobre la privacidad.
Para afrontar este problema urgente, los investigadores del MIT han desarrollado un protocolo de seguridad que aprovecha las propiedades cuánticas de la luz para asegurar que los datos enviados en dirección a y desde un servidor en la abundancia permanezcan seguros durante los cálculos de formación profundo.
Al codificar datos en la luz láser utilizada en los sistemas de comunicaciones de fibra óptica, el protocolo explota los principios fundamentales de la mecánica cuántica, haciendo irrealizable que los atacantes copien o intercepten la información sin ser detectados.
Por otra parte, la técnica garantiza la seguridad sin comprometer la precisión de los modelos de formación profundo. En las pruebas, el investigador demostró que su protocolo podía sustentar una precisión del 96 por ciento al tiempo que garantizaba medidas de seguridad sólidas.
“Los modelos de formación profundo como GPT-4 tienen capacidades sin precedentes, pero requieren medios computacionales masivos. Nuestro protocolo permite a los usuarios disfrutar estos potentes modelos sin comprometer la privacidad de sus datos ni la naturaleza patentada de los propios modelos”, afirma Kfir Sulimany, un posdoctorado del MIT en el Laboratorio de Investigación en Electrónica (RLE) y autor principal de un artículo. Documento sobre este protocolo de seguridad.
Sulimany está acompañado en el artículo por Sri Krishna Vadlamani, un posdoctorado del MIT; Ryan Hamerly, un ex posdoctorado que ahora trabaja en NTT Research, Inc.; Prahlad Iyengar, un estudiante de posgrado en ingeniería eléctrica y ciencias de la computación (EECS); y el autor principal Dirk Englund, profesor de EECS, investigador principal del Orden de Fotónica Cuántica e Inteligencia Fabricado y de RLE. La investigación se presentó recientemente en la Conferencia Anual sobre Criptografía Cuántica.
Una vía de doble sentido para la seguridad en el formación profundo
El tablas de computación basado en la abundancia en el que se centraron los investigadores involucra dos partes: un cliente que tiene datos confidenciales, como imágenes médicas, y un servidor central que controla un maniquí de formación profundo.
El cliente quiere utilizar el maniquí de formación profundo para hacer una predicción, por ejemplo, si un paciente tiene cáncer basándose en imágenes médicas, sin revelar información sobre el paciente.
En este tablas, se deben remitir datos confidenciales para gestar una predicción. Sin confiscación, durante el proceso, los datos del paciente deben permanecer seguros.
Por otra parte, el servidor no quiere revelar ninguna parte del maniquí propietario que una empresa como OpenAI invirtió primaveras y millones de dólares en construir.
“Ambas partes tienen poco que quieren ocultar”, añade Vadlamani.
En la computación digital, un actor malintencionado podría copiar fácilmente los datos enviados desde el servidor o el cliente.
Por otra parte, la información cuántica no se puede copiar a la perfección. Los investigadores aprovechan esta propiedad, conocida como principio de no clonación, en su protocolo de seguridad.
Para el protocolo de los investigadores, el servidor codifica los pesos de una red neuronal profunda en un campo óptico utilizando luz láser.
Una red neuronal es un maniquí de formación profundo que consta de capas de nodos interconectados, o neuronas, que realizan cálculos sobre los datos. Los pesos son los componentes del maniquí que realizan las operaciones matemáticas en cada entrada, una capa a la vez. La salida de una capa se introduce en la venidero capa hasta que la capa final genera una predicción.
El servidor transmite los pesos de la red al cliente, que realiza operaciones para obtener un resultado en función de sus datos privados. Los datos permanecen protegidos del servidor.
Al mismo tiempo, el protocolo de seguridad permite al cliente calibrar solo un resultado y evita que el cliente copie los pesos adecuado a la naturaleza cuántica de la luz.
Una vez que el cliente introduce el primer resultado en la venidero capa, el protocolo está diseñado para anular la primera capa para que el cliente no pueda ilustrarse nulo más sobre el maniquí.
“En punto de calibrar toda la luz entrante del servidor, el cliente solo mide la luz que es necesaria para ejecutar la red neuronal profunda y envía el resultado a la venidero capa. Luego, el cliente envía la luz residual de regreso al servidor para realizar controles de seguridad”, explica Sulimany.
Adecuado al teorema de no clonación, el cliente inevitablemente aplica pequeños errores al maniquí mientras mide su resultado. Cuando el servidor recibe la luz residual del cliente, puede calibrar estos errores para determinar si se filtró alguna información. Es importante destacar que se ha demostrado que esta luz residual no revela los datos del cliente.
Un protocolo práctico
Los equipos de telecomunicaciones modernos suelen servir de fibras ópticas para transferir información adecuado a la menester de soportar un orgulloso de lado masivo a largas distancias. Como estos equipos ya incorporan láseres ópticos, los investigadores pueden codificar datos en luz para su protocolo de seguridad sin ningún hardware distinto.
Cuando probaron su enfoque, los investigadores descubrieron que podía asegurar la seguridad del servidor y del cliente y al mismo tiempo permitir que la red neuronal profunda alcanzara una precisión del 96 por ciento.
La pequeña cantidad de información sobre el maniquí que se filtra cuando el cliente realiza operaciones equivale a menos del 10 por ciento de lo que un adversario necesitaría para recuperar cualquier información oculta. En la dirección opuesta, un servidor receloso solo podría obtener en torno a del 1 por ciento de la información que necesitaría para robar los datos del cliente.
“Puedes tener la aval de que es seguro en uno y otro sentidos: del cliente al servidor y del servidor al cliente”, afirma Sulimany.
“Hace unos primaveras, cuando desarrollamos nuestra Demostración de inferencia de formación inevitable distribuido Entre el campus principal del MIT y el Laboratorio Lincoln del MIT, se me ocurrió que podíamos hacer poco completamente nuevo para dedicar seguridad en la capa física, basándonos en primaveras de trabajo de criptografía cuántica que había Asimismo se ha demostrado en ese bandada de pruebas.“, dice Englund. “Sin confiscación, hubo muchos desafíos teóricos profundos que se tuvieron que pasar para ver si esta perspectiva de formación inevitable distribuido con privacidad garantizada podía hacerse verdad. Esto no fue posible hasta que Kfir se unió a nuestro equipo, ya que Kfir comprendió de guisa única los componentes experimentales y teóricos para desarrollar el ámbito unificado que sustenta este trabajo”.
En el futuro, los investigadores quieren estudiar cómo se podría aplicar este protocolo a una técnica señal formación federado, en la que varias partes utilizan sus datos para entrenar un maniquí central de formación profundo. Asimismo se podría utilizar en operaciones cuánticas, en punto de las operaciones clásicas que estudiaron para este trabajo, lo que podría proporcionar ventajas tanto en precisión como en seguridad.
“Este trabajo combina de forma inteligente e intrigante técnicas provenientes de campos que normalmente no se encuentran, en particular el formación profundo y la distribución de claves cuánticas. Al utilizar métodos de este final, agrega una capa de seguridad al primero, al tiempo que permite lo que parece ser una implementación realista. Esto puede ser interesante para preservar la privacidad en arquitecturas distribuidas. Estoy deseando ver cómo se comporta el protocolo bajo imperfecciones experimentales y su implementación actos”, afirma Eleni Diamanti, directora de investigación del CNRS en la Universidad de la Sorbona en París, que no participó en este trabajo.
Este trabajo fue apoyado, en parte, por el Consejo Israelí de Educación Superior y el Software de Liderazgo STEM de Zuckerman.