一种新的机器学习代理中的隐写方法
威斯康星大学麦迪逊分校(University of Wisconsin-Madison)和阿默斯特学院(Amherst College)的研究人员最近在机器学习领域引入了一种新形式的隐写术,名为“训练集伪装”(training set)。他们的框架,在arXiv预先发布的一篇论文中概述,允许机器学习代理向第三方观察者隐藏任务的意图和目标。
隐写术是一种通过在其他消息中嵌入消息来保护或隐藏数据的加密技术。在他们最近的研究中,威斯康辛大学麦迪逊分校的研究人员特别考虑了这样一个场景:一个机器学习代理(Alice)试图训练另一个代理(Bob)完成一项秘密的分类任务,而第三个代理(Eve)却不知道。
研究人员在论文中写道:“想象一下,爱丽丝接受了一项非法机器学习分类任务的训练。”“爱丽丝想让鲍勃(一个机器学习系统)学习这个任务。然而,如果通信被监控,将训练集或训练模型发送给Bob会引起怀疑。”
在研究人员设想的场景中,第三个名为Eve的代理扮演数据验证者的角色,监控Alice和Bob之间的通信。当Eve怀疑Alice发送给Bob的内容时,她可以终止他们之间的通信,拒绝发送他们交换的数据。Eve充当一个审核员,在将训练数据集传递给初学者之前,它试图确定训练数据集是否合法。
“发送私人训练集将揭示爱丽丝的意图;发送模型参数的方向也会引起怀疑,”研究人员在他们的论文中解释道。“爱丽丝必须伪装通信,让它在伊芙看来很平凡,同时避免事先与鲍勃进行过多的编码技巧。”
研究人员设计的隐写术方法使爱丽丝能够针对一个完全不同的、看似无害的分类任务计算第二个训练集,而不会引起伊芙的怀疑。它是通过查找一个数据集来实现这一点的,这个数据集看起来像是可以应用于一个特定的任务,而实际上它可以教一个代理在一个不同的任务中表现良好。通过将其标准学习算法应用于第二个训练集,Bob可以近似地恢复原始任务上的分类器。
研究人员设计的速记法有点侥幸,因为它出自一个与机器学习领域无关的项目。他们开发的一个系统创建了一系列的教学集,其中包括一个错误标记的点。这鼓励他们研究一个代理是否可以教另一个代理如何完成任务,同时用另一个任务伪装它。
研究人员使用真实的分类任务进行了一系列的实验,证明了他们的方法的可行性。他们的研究表明,只要利用以下事实就可以隐藏大量信息:对于任何给定的任务,都有几个模型可以很好地执行。
参与这项研究的一些研究人员现在正在进行隐写术领域的进一步研究。其他人,如Scott Alfeld,正在研究攻击者在连续空间中扰乱训练实例的对抗性设置,而不是像训练集伪装那样选择例子的子集。