BridgePure: Revealing the Fragility of Black-box Data Protection

要約

可用性攻撃、または学習不可能な例は、データの意図された機能を維持しながら、不正な機械学習モデルが効果的に学習するのを防ぐ方法で、データ所有者がデータセットを変更できるようにする防御手法です。
これにより、ユーザーが個人データをアップロードし、保護されたデータを受け取るための人気のブラックボックス ツールがリリースされるようになりました。
この研究では、保護されていない分散内データの少数のセットが利用可能な場合、そのようなブラックボックス保護が実質的にバイパスできることを示します。
具体的には、攻撃者は、(1) 保護されていないデータセットを使用してブラック ボックス保護をクエリすることで、(保護されていない、保護されている) ペアを簡単に取得できます。
(2) 拡散橋モデルをトレーニングしてマッピングを構築します。
BridgePure と呼ばれるこのマッピングは、同じディストリビューション内で以前は見えなかったデータから保護を効果的に削除できます。
この脅威モデルの下で、私たちの手法は分類およびスタイル模倣タスクで優れた精製パフォーマンスを示し、ブラックボックス データ保護の重大な脆弱性を明らかにします。

要約(オリジナル)

Availability attacks, or unlearnable examples, are defensive techniques that allow data owners to modify their datasets in ways that prevent unauthorized machine learning models from learning effectively while maintaining the data’s intended functionality. It has led to the release of popular black-box tools for users to upload personal data and receive protected counterparts. In this work, we show such black-box protections can be substantially bypassed if a small set of unprotected in-distribution data is available. Specifically, an adversary can (1) easily acquire (unprotected, protected) pairs by querying the black-box protections with the unprotected dataset; and (2) train a diffusion bridge model to build a mapping. This mapping, termed BridgePure, can effectively remove the protection from any previously unseen data within the same distribution. Under this threat model, our method demonstrates superior purification performance on classification and style mimicry tasks, exposing critical vulnerabilities in black-box data protection.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google