要約
MLaaS(Machine Learning as a Service)APIは、与えられた入力に対してベクトル表現を生成する、すぐに使えて実用性の高いエンコーダを提供する。これらのエンコーダは訓練に非常にコストがかかるため、敵がAPIへのクエリアクセスを利用して、元の訓練コストのほんの一部でエンコーダをローカルに複製する、モデル盗用攻撃の有利なターゲットとなる。我々は、Bucks for Buckets (B4B)を提案する。これは、正当なAPIユーザーの表現品質を低下させることなく、攻撃が行われている間に盗用を防ぐ、初の能動的防御である。私たちの防御は、エンコーダーの機能を盗もうとする敵に返される表現は、エンコーダーを利用して特定の下流タスクを解決する正当なユーザーの表現よりも、埋め込み空間のかなり大きな割合をカバーしているという観察に依存しています。適応的な敵対者が単に複数のユーザーアカウント(sybils)を作成することで我々の防御を逃れることを防ぐため、B4Bは各ユーザーの表現も個別に変換します。これにより、敵が複数のアカウントにまたがる表現を直接集約して、盗まれたエンコーダーのコピーを作成することを防ぎます。私たちの能動的な防御は、公開API上でエンコーダを安全に共有し、民主化するための新たな道を開きます。
要約(オリジナル)
Machine Learning as a Service (MLaaS) APIs provide ready-to-use and high-utility encoders that generate vector representations for given inputs. Since these encoders are very costly to train, they become lucrative targets for model stealing attacks during which an adversary leverages query access to the API to replicate the encoder locally at a fraction of the original training costs. We propose Bucks for Buckets (B4B), the first active defense that prevents stealing while the attack is happening without degrading representation quality for legitimate API users. Our defense relies on the observation that the representations returned to adversaries who try to steal the encoder’s functionality cover a significantly larger fraction of the embedding space than representations of legitimate users who utilize the encoder to solve a particular downstream task.vB4B leverages this to adaptively adjust the utility of the returned representations according to a user’s coverage of the embedding space. To prevent adaptive adversaries from eluding our defense by simply creating multiple user accounts (sybils), B4B also individually transforms each user’s representations. This prevents the adversary from directly aggregating representations over multiple accounts to create their stolen encoder copy. Our active defense opens a new path towards securely sharing and democratizing encoders over public APIs.
arxiv情報
著者 | Jan Dubiński,Stanisław Pawlak,Franziska Boenisch,Tomasz Trzciński,Adam Dziedzic |
発行日 | 2023-11-03 14:12:23+00:00 |
arxivサイト | arxiv_id(pdf) |