AccueilFacktualitéLes générateurs de faux visages d'IA peuvent être rembobinés pour révéler les...

Les générateurs de faux visages d’IA peuvent être rembobinés pour révéler les vrais visages sur lesquels ils se sont entraînés

Pourtant, cela suppose que vous puissiez obtenir ces données d’entraînement, explique Kautz. Lui et ses collègues de Nvidia ont mis au point une manière différente d’exposer des données privées, notamment des images de visages et d’autres objets, des données médicales, etc., qui ne nécessite aucun accès aux données d’entraînement.

Au lieu de cela, ils ont développé un algorithme qui peut recréer les données auxquelles un modèle formé a été exposé en inversant les étapes par lesquelles le modèle passe lors du traitement de ces données. Prenez un réseau de reconnaissance d’images entraîné : pour identifier le contenu d’une image, le réseau la fait passer à travers une série de couches de neurones artificiels. Chaque couche extrait différents niveaux d’informations, des contours aux formes en passant par des caractéristiques plus reconnaissables.

L’équipe de Kautz a découvert qu’elle pouvait interrompre un modèle au milieu de ces étapes et inverser sa direction, recréant l’image d’entrée à partir des données internes du modèle. Ils ont testé la technique sur une variété de modèles de reconnaissance d’images et de GAN courants. Dans un test, ils ont montré qu’ils pouvaient recréer avec précision des images à partir d’ImageNet, l’un des ensembles de données de reconnaissance d’images les plus connus.

Images d’ImageNet (en haut) à côté des recréations de ces images réalisées en rembobinant un modèle formé sur ImageNet (en bas)

NVIDIA

Comme dans le travail de Webster, les images recréées ressemblent étroitement aux vraies. « Nous avons été surpris par la qualité finale », déclare Kautz.

Les chercheurs soutiennent que ce type d’attaque n’est pas simplement hypothétique. Les smartphones et autres petits appareils commencent à utiliser davantage l’IA. En raison des contraintes de batterie et de mémoire, les modèles ne sont parfois qu’à moitié traités sur l’appareil lui-même et envoyés vers le cloud pour le calcul final, une approche connue sous le nom de split computing. La plupart des chercheurs supposent que l’informatique partagée ne révélera aucune donnée privée du téléphone d’une personne, car seul le modèle est partagé, explique Kautz. Mais son attaque montre que ce n’est pas le cas.

Kautz et ses collègues travaillent maintenant à trouver des moyens d’empêcher les modèles de divulguer des données privées. Nous voulions comprendre les risques afin de minimiser les vulnérabilités, dit-il.

Même s’ils utilisent des techniques très différentes, il pense que son travail et celui de Webster se complètent bien. L’équipe de Webster a montré que des données privées pouvaient être trouvées dans la sortie d’un modèle ; L’équipe de Kautz a montré que les données privées pouvaient être révélées en allant à l’envers, en recréant l’entrée. « Explorer les deux directions est important pour mieux comprendre comment prévenir les attaques », déclare Kautz.

François Zipponi
François Zipponihttp://10-raisons.com/author/10raisons/
Je suis François Zipponi, éditorialiste pour le site 10-raisons.com. J'ai commencé ma carrière de journaliste en 2004, et j'ai travaillé pour plusieurs médias français, dont le Monde et Libération. En 2016, j'ai rejoint 10-raisons.com, un site innovant proposant des articles sous la forme « 10 raisons de... ». En tant qu'éditorialiste, je me suis engagé à fournir un contenu original et pertinent, abordant des sujets variés tels que la politique, l'économie, les sciences, l'histoire, etc. Je m'efforce de toujours traiter les sujets de façon objective et impartiale. Mes articles sont régulièrement partagés sur les réseaux sociaux et j'interviens dans des conférences et des tables rondes autour des thèmes abordés sur 10-raisons.com.

Articles récents