В России разработали метод защиты от краж ИИ-моделей

Институт приводит в пример кейс с французским стартапом, который развивает модель Mistral. Сотрудников слил в сеть помеченную водяным знаком версию старой модели, которую обучали открыто.

Как пояснили в AIRI, кражей ИИ-модели считается ситуация, при которой неавторизованные физические или юрлица незаконно получают и используют модели, права на которые принадлежат другим лицам, без их согласия. Самым популярным подходом является дистилляция модели и дообучение исходной модели на новом наборе данных. При этом способ получения исходной модели утаивается.

Предложенный специалистами AIRI метод позволяет получить уникальные наборы триггеров, которые встраиваются в ИИ-модель и с высокой вероятностью сохраняются в процессе любых изменений.

Этот подход не зависит от типа модели и не предполагает ограничений на размер набора триггеров. В AIRI отмечают, что подход можно применять к любой модели без ущерба для производительности.

«В первую очередь наш подход полезен "закрытым" моделям, распространяющимся через API, поскольку их кража с максимальной вероятностью свидетельствует о нарушении конфиденциальности данных внутри компании», — отметил руководитель научной группы «Доверенные и безопасные интеллектуальные системы» Института AIRI Олег Рогов.

Он добавил, что метод также поддерживает применение водяных знаков для опубликованных по open-sours лицензиям моделей.

«Цифровые водяные знаки помогут установить, что открытая модель была скопирована без учета требований такой лицензии и помочь разработчикам в защите своей репутации», — уточнил Рогов.

Код метода уже прошел государственную регистрацию и находится в открытом доступе. Институт также подал на метод выявления краж патентную заявку. Доступ к алгоритму опубликован на Github.

Фото на обложке: Gohang / Shutterstock