Поделиться
Исследователи Центрального университета нашли новый способ защиты прав на модели компьютерного зрения
Группа исследователей из Научной лаборатории ИИ, анализа данных и моделирования им. профессора А. Н. Горбаня, созданной на базе Центрального университета, разработала способ защиты моделей компьютерного зрения (нейросети для интерпретации визуальных данных) от несанкционированного использования — не прибегая к переобучению. Метод позволяет как подтвердить авторские права на модель, так и сделать ее неработоспособной без специального «ключа». Решение может стать важным шагом в коммерциализации моделей компьютерного зрения, особенно в сегментах мобильных приложений и финтехе. Об этом CNews сообщили представители Центрального университета.
Актуальность и практическая значимость
Компании все чаще разрабатывают собственные модели компьютерного зрения для внедрения в продукты: от смартфонов до бытовой техники. Как только модель устанавливается на устройство, ее можно скопировать для последующей перепродажи или использования в конкурирующем решении. В отличие от программного обеспечения, нейросети для анализа изображений сложно защитить: модели представляют собой набор чисел (весов), которые можно легко воспроизвести.
Сегодня для защиты моделей компьютерного зрения используют два подхода: водяные знаки для доказательства авторства и ключи для обеспечения работоспособности. Оба метода требуют интеграции еще на этапе обучения — это дорого, времязатратно и не подходит для готовых моделей.
Суть изобретения
Исследователи Центрального университета с соавторами предложили заменить всего один нейрон в уже обученной модели компьютерного зрения на «нейрон-детектор». Это элемент, который не реагирует на обычные изображения, но активизируется, если на картинке есть специальный «раздражитель», то есть секретный ключ (например, небольшой узор 4 × 4 пикселя). Срабатывание нейрона-детектора подтверждает авторство модели.
Если в обученную нейросеть для анализа изображений добавить по этому же принципу «нейроны-нарушители», модель будет работать штатно только при наличии ключа. Без него нейроны намеренно вносят помехи и препятствуют работе модели. Метод похож на лицензионный ключ, уникальный для каждого пользователя, но он уже заранее заложен в «ядро» нейросети, то есть не требует генерации на этапе обучения. Это изобретение поможет решить проблему пиратства и масштабировать защитные механизмы для моделей компьютерного зрения.
Уникальность метода
Математическая гарантия. Авторы доказали, что при встроенном нейроне-детекторе вероятность его случайной активизации ничтожно мала. Например, при выборке из 10 тыс. изображений вероятность ложного срабатывания менее 0,01%. Математическая обоснованность позволяет использовать метод в промышленных масштабах и регулируемых отраслях.
Метод не требует переобучения. Интеграция нейронов происходит однократно в уже готовой сети. Такой механизм не требует дополнительного обучения модели и вычислений. Раньше защитить модель компьютерного зрения без участия в ее обучении было невозможно.
Возможность массового распространения. Метод подходит для любых моделей компьютерного зрения. Это делает его пригодным для массового распространения и последующей сертификации продуктов. Такая адаптивность дает возможность использовать механизм в чувствительных отраслях, таких как медицина и финтех.
Потенциал масштабирования на другие языковые модели. В будущем метод смогут применять не только к моделям компьютерного зрения, но и к большим языковым моделям, системам принятия решений. В эпоху, когда нейросети легко скопировать, как это было раньше с программным обеспечением, разработка исследователей Центрального университета может стать основой для нового рынка лицензирования искусственного интеллекта.
Глеб Рыжаков, старший научный сотрудник лаборатории ИИ, анализа данных и моделирования им. А. Н. Горбаня в Центральном университете: «Сегодня модели искусственного интеллекта, особенно в компьютерном зрении, представляют собой результат масштабных инвестиций, как финансовых, так и интеллектуальных. Однако, в отличие от традиционных цифровых объектов, защитить модели компьютерного зрения от кражи и несанкционированного присвоения крайне сложно. Существующие методы, как правило, требуют интеграции защитных механизмов на этапе обучения, что делает их сложными в реализации на практике и почти неприменимыми для уже готовых, предобученных моделей. Наша исследовательская лаборатория разработала революционное решение, позволяющее встроить защиту в модель без необходимости ее переобучения. Простота, масштабируемость и теоретически обоснованная надежность такого подхода создают основу для противодействия воровству в сфере ИИ — а это актуальная проблема для разработчиков и исследователей по всему миру».
Короткая ссылка
