新方法有效保护敏感的人工智能训练数据

麻省理工学院的研究人员最近开发了一个框架，基于名为PAC Privacy的新隐私度量，能够在确保敏感数据（如医学图像或财务记录）安全免受攻击者攻击的同时保持人工智能模型的性能。现在，他们通过使他们的技术在计算上更高效，改进准确性与隐私之间的权衡，并创建一个可以用于隐私保护几乎任何算法的正式模板，无需访问该算法的内部工作原理，将这项工作更进一步。

该团队利用他们的新版本PAC Privacy对多个经典数据分析和机器学习任务的算法进行了隐私保护。

他们还证明，更多“稳定”的算法更容易通过他们的方法进行隐私保护。稳定算法的预测即使在其训练数据轻微修改时仍然保持一致。更大的稳定性有助于算法对以前未见过的数据做出更准确的预测。

研究人员表示，新PAC Privacy框架的效率提高，以及实施该框架的四步模板，会使这种技术更容易部署到现实世界中。

“我们倾向于认为鲁棒性和隐私与构建高性能算法无关，甚至可能相互冲突。首先，我们制作一个有效的算法，然后我们使其稳健，再然后使其隐私化。我们已经证明这种框架并不总是正确。如果你让你的算法在各种设置中表现更好，你可以从本质上获得免费的隐私。”麻省理工学院研究生及该隐私框架论文的主要作者Mayuri Sridhar说。

她在论文中与将于秋季开始在普渡大学担任助理教授的Hanshen Xiao（博士 ’24）共同合作；以及资深作者、电子工程的Edwin Sibley Webster教授Srini Devadas合作。该研究将在IEEE安全与隐私研讨会上展示。

估计噪声

为了保护用于训练人工智能模型的敏感数据，工程师们通常会向模型添加噪声或通用随机性，这样就更难让对手猜测原始训练数据。噪声会降低模型的准确性，因此添加的噪声越少越好。

PAC Privacy自动估计为达到所需隐私级别所需向算法添加的最小噪声量。

原始PAC Privacy算法在不同数据集样本上多次运行用户的人工智能模型。它测量这些输出之间的方差以及相关性，并利用这些信息估计需要添加多少噪声以保护数据。

这种PAC Privacy的新变体以相同的方式工作，但不需要表示输出之间整个数据相关性的矩阵；它只需要输出方差。

“因为你正在估计的东西比整个协方差矩阵小得多，因此你可以更快地进行估计，”Sridhar解释道。这意味着可以扩展到更大的数据集。

添加噪声会损害结果的效用，因此最小化效用损失非常重要。由于计算成本，原始PAC Privacy算法仅限于添加各向同性噪声，即在所有方向均匀添加的噪声。由于新变体估计了各向异性噪声，该噪声根据训练数据的特定特征量身定制，因此用户可以添加更少的总体噪声以达到相同的隐私级别，提高了隐私化算法的准确性。

隐私与稳定性

在研究PAC Privacy时，Sridhar推测，使用该技术的更稳定算法将更容易实现隐私保护。她使用了更高效的PAC Privacy变体来测试这个理论，涉及几个经典算法。

更稳定的算法在其训练数据稍微改变时，输出的方差较小。PAC Privacy将数据集分成若干块，在每块数据上运行算法，并测量输出之间的方差。方差越大，添加的噪声越多，以实现算法的隐私化。

通过使用稳定性技术来减少算法输出中的方差，也可以减少需要添加的噪声量以实现隐私保护，她解释道。

“在最佳情况下，我们可以获得这样的双赢场景，”她说。

研究团队展示了这些隐私保证尽管在他们测试的算法中依然强大，新版本的PAC Privacy估计噪声所需的试验次数少了一个数量级。他们还在攻击模拟中测试了该方法，证明其隐私保证能够抵御最先进的攻击。

“我们想探索如何与PAC Privacy共同设计算法，以便算法从一开始就是更稳定、安全和鲁棒的，”Devadas说。研究人员还希望在更复杂的算法中测试他们的方法，并进一步探索隐私与效用之间的权衡。

“现在的问题是，这些双赢情况何时发生，以及我们如何使它们更频繁地发生？”Sridhar说。