Proof-of-Learning is Currently More Broken Than You Think

要約

タイトル: Proof-of-Learningは現在、あなたが考えている以上に壊れています

要約:
– Proof-of-Learning（PoL）は、モデルオーナーがトレーニングのチェックポイントをログすることで、トレーニングに必要な計算コストの証明を確立することを提案しています。
– PoLの著者たちは暗号化アプローチを放棄し、深層学習のスケーラビリティを追求するために厳格なセキュリティ保証をトレードオフしています。
– 彼らはこのアプローチの利点を実証的に主張し、スプーフィング（盗まれたモデルの証明を計算すること）が、モデルを正当にトレーニングすることによって正当な証明を得ることと同じくらい高価であることを示しました。
– しかし、最近の研究により、この観察が無効となったため、現在のPoLは偽装に脆弱であることが明らかになりました。
– この研究では、現在のPoL検証が攻撃者に対して強固でないことは事実であるが、最近の研究はこの強固性の欠如を大幅に過小評価していることを実証している。
– これは、既存のスプーフィング戦略が再現性がなく、またPoLの弱体化された瞬間にターゲットを絞っているためであり、そのため、検証のハイパーパラメーターを変更することで簡単に阻止できます。
– 代わりに、私たちはPoLの主要な脆弱性を特定し、証明を確実に検証するために必要な基本的な仮定をシステム的に分析することで、異なるPoL構成で再現でき、これまでのスプーフィング戦略の一部のコストで実行できる初のスプーフィング戦略を紹介します。
– 理論面では、これらの仮定を実現する方法が、学習理論のオープンな問題に還元されることを示します。
– 深層学習の最適化についてのさらなる理解がなければ、確実に強固なPoL検証メカニズムを開発することはできないと結論付けています。

要約(オリジナル)

Proof-of-Learning (PoL) proposes that a model owner logs training checkpoints to establish a proof of having expended the computation necessary for training. The authors of PoL forego cryptographic approaches and trade rigorous security guarantees for scalability to deep learning. They empirically argued the benefit of this approach by showing how spoofing–computing a proof for a stolen model–is as expensive as obtaining the proof honestly by training the model. However, recent work has provided a counter-example and thus has invalidated this observation. In this work we demonstrate, first, that while it is true that current PoL verification is not robust to adversaries, recent work has largely underestimated this lack of robustness. This is because existing spoofing strategies are either unreproducible or target weakened instantiations of PoL–meaning they are easily thwarted by changing hyperparameters of the verification. Instead, we introduce the first spoofing strategies that can be reproduced across different configurations of the PoL verification and can be done for a fraction of the cost of previous spoofing strategies. This is possible because we identify key vulnerabilities of PoL and systematically analyze the underlying assumptions needed for robust verification of a proof. On the theoretical side, we show how realizing these assumptions reduces to open problems in learning theory.We conclude that one cannot develop a provably robust PoL verification mechanism without further understanding of optimization in deep learning.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI