Image Classifiers Leak Sensitive Attributes About Their Classes

要約

ニューラル ネットワーク ベースの画像分類器は、コンピューター ビジョン タスクの強力なツールですが、クラスに関する機密属性情報を誤って公開してしまうため、プライバシーに関する懸念が生じます。
このプライバシー漏洩を調査するために、最初のクラス属性推論攻撃 (Caia) を導入します。これは、テキストから画像への合成における最近の進歩を活用して、ブラック ボックス設定で個々のクラスの機密属性を推測し、関連するホワイトとの競争力を維持します。
ボックスアタック。
顔認識ドメインでの広範な実験により、Caia は、個人の髪の色、性別、人種的外見など、トレーニング ラベルの一部ではない非公開の機密属性を正確に推測できることが示されています。
興味深いことに、敵対的で堅牢なモデルは、標準モデルよりもそのようなプライバシー漏洩に対してさらに脆弱であることを示しており、堅牢性とプライバシーの間にトレードオフが存在することを示しています。

要約(オリジナル)

Neural network-based image classifiers are powerful tools for computer vision tasks, but they inadvertently reveal sensitive attribute information about their classes, raising concerns about their privacy. To investigate this privacy leakage, we introduce the first Class Attribute Inference Attack (Caia), which leverages recent advances in text-to-image synthesis to infer sensitive attributes of individual classes in a black-box setting, while remaining competitive with related white-box attacks. Our extensive experiments in the face recognition domain show that Caia can accurately infer undisclosed sensitive attributes, such as an individual’s hair color, gender and racial appearance, which are not part of the training labels. Interestingly, we demonstrate that adversarial robust models are even more vulnerable to such privacy leakage than standard models, indicating that a trade-off between robustness and privacy exists.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google