Suas redes (neurais) estão vazando
Pesquisadores de universidades nos EUA e na Suíça, em colaboração com Google e DeepMind, publicaram um artigo mostrando como os dados podem vazar de imagens sistemas de geração que usam os algoritmos de aprendizado de máquina DALL-E, Imagen ou Stable Diffusion. Todos eles funcionam da mesma forma do lado do usuário: você digita uma consulta de texto específica — por exemplo, “uma poltrona em forma de abacate” — e obtém uma imagem gerada em retorno.
Imagem gerada pela rede neural Dall-E. Fonte.
Todos esses sistemas são treinados em um grande número (dezenas ou centenas de milhares) de imagens com descrições pré-preparadas. A ideia por trás dessas redes neurais é que, ao consumir uma grande quantidade de dados de treinamento, elas podem criar imagens novas e únicas. No entanto, a principal conclusão do novo estudo é que essas imagens nem sempre são únicas. Em alguns casos é possível forçar a rede neural a reproduzir quase exatamente uma imagem original usada anteriormente para treinamento. E isso significa que as redes neurais podem revelar involuntariamente informações privadas.
Imagem gerada pela rede neural Stable Diffusion (à direita) e a imagem original do conjunto de treinamento (à esquerda). Fonte.
Mais dados para o “deus dos dados”
A saída de um aprendizado de máquina sistema em resposta a uma consulta pode parecer mágica para um não especialista: “uau – é como um robô onisciente!”! Mas realmente não há mágica…
Todas as redes neurais funcionam mais ou menos da mesma maneira: um algoritmo é criado treinado em um conjunto de dados – por exemplo, uma série de fotos de gatos e cães — com uma descrição do que exatamente é retratado em cada imagem. Após o estágio de treinamento, o algoritmo vê uma nova imagem e pede para descobrir se é um gato ou um cachorro. A partir desse começo humilde, os desenvolvedores desses sistemas passaram para um cenário mais complexo: o algoritmo treinado em muitas fotos de gatos cria uma imagem de um animal de estimação que nunca existiu sob demanda. Tais experimentos são realizados não apenas com imagens, mas também com texto, vídeo e até voz: já escrevemos sobre o problema dos deepfakes (em que vídeos alterados digitalmente de (principalmente) políticos ou celebridades parecem dizer coisas que nunca disseram ).
Para todas as redes neurais, o ponto de partida é um conjunto de dados de treinamento: as redes neurais não podem inventar novas entidades do nada. Para criar a imagem de um gato, o algoritmo deve estudar milhares de fotografias reais ou desenhos desses animais. Existem muitos argumentos para manter esses conjuntos de dados confidenciais. Alguns deles são de domínio público; outros conjuntos de dados são de propriedade intelectual da empresa desenvolvedora que investiu tempo e esforço consideráveis para criá-los na esperança de obter uma vantagem competitiva. Outros ainda, por definição, constituem informações confidenciais. Por exemplo, estão em andamento experimentos para usar redes neurais para diagnosticar doenças com base em raios-X e outros exames médicos. Isso significa que os dados de treinamento algorítmico contêm os dados reais de saúde de pessoas reais, que, por razões óbvias, não devem cair em mãos erradas.
Divulgue
Embora os algoritmos de aprendizado de máquina pareçam iguais para quem está de fora, eles são de fato diferentes. Em seu artigo, os pesquisadores prestam atenção especial aos modelos de difusão de aprendizado de máquina . Eles funcionam assim: os dados de treinamento (novamente imagens de pessoas, carros, casas, etc.) são distorcidos pela adição de ruído. E a rede neural é então treinada para restaurar essas imagens ao seu estado original. Este método permite gerar imagens de qualidade decente, mas uma desvantagem potencial (em comparação com algoritmos em redes adversárias generativas, por exemplo) é sua maior tendência a vazar dados.
Os dados originais podem ser extraídos deles de pelo menos três maneiras diferentes: primeiro, usando consultas específicas, você pode forçar a rede neural a produzir – não algo único, gerado com base em milhares de imagens – mas uma imagem de origem específica. Em segundo lugar, a imagem original pode ser reconstruída mesmo que apenas uma parte dela esteja disponível. Em terceiro lugar, é possível simplesmente estabelecer se uma determinada imagem está ou não contida nos dados de treinamento.
Muitas vezes, as redes neurais são… lazy e, em vez de uma nova imagem, eles produzem algo do conjunto de treinamento se ele contiver várias duplicatas da mesma imagem. Além do exemplo acima com a foto de Ann Graham Lotz, o estudo fornece alguns outros resultados semelhantes:
Linhas ímpares: o original imagens. Linhas pares: imagens geradas pelo Stable Diffusion v1.4. Source.
Se uma imagem for duplicada no conjunto de treinamento mais de cem vezes, há uma chance muito alta de vazar sua forma quase original. No entanto, os pesquisadores demonstraram maneiras de recuperar imagens de treinamento que apareciam apenas uma vez no conjunto original. Esse método é bem menos eficiente: das quinhentas imagens testadas, o algoritmo recriou aleatoriamente apenas três delas. O método mais artístico de atacar uma rede neural envolve a recriação de uma imagem de origem usando apenas um fragmento dela como entrada.
Os pesquisadores pediram à rede neural para completar a imagem, depois de deletar parte dela. Isso pode ser usado para determinar com bastante precisão se uma determinada imagem estava no conjunto de treinamento. Se fosse, o algoritmo de aprendizado de máquina gerava uma cópia quase exata da foto ou desenho original. Fonte.
Neste ponto, vamos desviar nossa atenção para a questão das redes neurais e direitos autorais.
Quem roubou de quem?
Em janeiro de 2023, três artistas processaram os criadores de serviços de geração de imagens que usavam algoritmos de aprendizado de máquina. Eles alegaram (com razão) que os desenvolvedores das redes neurais os treinaram em imagens coletadas online sem qualquer respeito por direitos autorais. Uma rede neural pode, de fato, copiar o estilo de um determinado artista e, assim, privá-lo de renda. O artigo sugere que, em alguns casos, os algoritmos podem, por várias razões, cometer plágio absoluto, gerando desenhos, fotografias e outras imagens quase idênticas ao trabalho de pessoas reais.
O estudo faz recomendações para fortalecer a privacidade do conjunto de treinamento original:
E agora?
A ética e a legalidade da a arte generativa certamente cria um debate interessante — no qual um equilíbrio deve ser buscado entre artistas e desenvolvedores da tecnologia. Por um lado, os direitos autorais devem ser respeitados. Por outro lado, a arte do computador é tão diferente da humana? Em ambos os casos, os criadores se inspiram nos trabalhos de colegas e concorrentes.
Mas vamos voltar à terra e falar sobre segurança. O artigo fornece um conjunto específico de fatos sobre apenas um modelo de aprendizado de máquina. Estendendo o conceito para todos algoritmos semelhantes, chegamos a uma situação interessante. Não é difícil imaginar um cenário em que um assistente inteligente de uma operadora móvel distribua informações corporativas confidenciais em resposta a uma consulta do usuário: afinal, estava nos dados de treinamento. Ou, por exemplo, uma consulta astuta engana uma rede neural pública para gerar uma cópia do passaporte de alguém. Os pesquisadores enfatizam que tais problemas permanecem teóricos por enquanto.
Mas outros problemas já estão conosco. Enquanto falamos, a rede neural de geração de texto ChatGPT está sendo usada para escrever um código malicioso real que (às vezes) funciona. E o GitHub Copilot está ajudando os programadores a escrever código usando uma grande quantidade de software de código aberto como entrada. E a ferramenta nem sempre respeita os direitos autorais e a privacidade dos autores cujo código acabou no extenso conjunto de dados de treinamento. À medida que as redes neurais evoluem, os ataques a elas também evoluirão – com consequências que ninguém ainda entende completamente.
