{"id":21205,"date":"2023-06-02T07:23:42","date_gmt":"2023-06-02T10:23:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21205"},"modified":"2023-06-02T07:23:42","modified_gmt":"2023-06-02T10:23:42","slug":"neural-networks-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/neural-networks-data-leaks\/21205\/","title":{"rendered":"Como a IA pode vazar seus dados pessoais"},"content":{"rendered":"

Suas redes (neurais) est\u00e3o vazando dados<\/h2>\n

Pesquisadores de universidades nos Estados Unidos e na Su\u00ed\u00e7a, em colabora\u00e7\u00e3o com o Google e a DeepMind, publicaram um artigo<\/a> mostrando como dados podem vazar de sistemas de gera\u00e7\u00e3o de imagens que usam os algoritmos de aprendizado de m\u00e1quina (machine-learning<\/em>) DALL-E<\/a>, Imagen<\/a> ou Stable Diffusion<\/a>. Todos esses recursos funcionam da mesma maneira para o usu\u00e1rio: voc\u00ea digita uma consulta de texto espec\u00edfica, por exemplo, \u201cuma poltrona em forma de abacate\u201d, e obt\u00e9m uma imagem gerada como resposta.<\/p>\n

\"Imagem<\/a>

Imagem gerada pela rede neural Dall-E. Fonte<\/a><\/p><\/div>\n

Esses sistemas s\u00e3o treinados em grande quantidade (dezenas ou centenas de milhares) de imagens com descri\u00e7\u00f5es pr\u00e9-preparadas. A ideia por tr\u00e1s dessas redes neurais \u00e9 que, ao consumir uma enorme quantidade de dados de treinamento, elas podem criar imagens novas e \u00fanicas. No entanto, a principal conclus\u00e3o do novo estudo \u00e9 que essas imagens nem sempre s\u00e3o t\u00e3o \u00fanicas. Em alguns casos, \u00e9 poss\u00edvel for\u00e7ar a rede neural a reproduzir quase exatamente uma imagem original usada anteriormente para treinamento. E isso significa que as redes neurais podem inadvertidamente revelar informa\u00e7\u00f5es privadas.<\/p>\n

\"Imagem<\/a>

Imagem gerada pela rede neural Stable Diffusion (direita) e a imagem original do conjunto de treinamento (esquerda). Fonte<\/a><\/p><\/div>\n

Mais dados para a \u201cdivindade dos dados\u201d<\/h2>\n

O resultado de um sistema de aprendizado de m\u00e1quina em resposta a uma consulta pode parecer m\u00e1gica para um n\u00e3o especialista: \u201cuau! \u00e9 como um rob\u00f4 que sabe de tudo!\u201d Mas n\u00e3o h\u00e1 m\u00e1gica nenhuma, na verdade\u2026<\/p>\n

Todas as redes neurais funcionam mais ou menos da mesma maneira: \u00e9 criado um algoritmo, treinado em um conjunto de dados, por exemplo, uma s\u00e9rie de fotos de gatos e cachorros, com uma descri\u00e7\u00e3o do que exatamente \u00e9 representado em cada imagem. Ap\u00f3s a fase de treinamento, o algoritmo recebe uma nova imagem e deve descobrir se \u00e9 um gato ou um cachorro. A partir desse come\u00e7o t\u00edmido, os desenvolvedores de tais sistemas passaram para um cen\u00e1rio mais complexo: o algoritmo treinado com muitas fotos de gatos cria a imagem de um animal de estima\u00e7\u00e3o que nunca existiu sob demanda. Tais experimentos s\u00e3o realizados n\u00e3o s\u00f3 com imagens, mas tamb\u00e9m com texto, v\u00eddeo e at\u00e9 voz: j\u00e1 escrevemos sobre o problema com os deepfakes<\/a> (v\u00eddeos alterados digitalmente, principalmente de pol\u00edticos ou celebridades, que parecem dizer coisas que nunca fizeram).<\/p>\n

Para todas as redes neurais, o ponto de partida \u00e9 um conjunto de dados de treinamento: as redes neurais n\u00e3o podem inventar novas entidades do nada. Para criar a imagem de um gato, o algoritmo deve estudar milhares de fotografias ou desenhos reais desse animal. H\u00e1 muitos argumentos para manter esses conjuntos de dados confidenciais. Alguns deles s\u00e3o de dom\u00ednio p\u00fablico; outros conjuntos de dados s\u00e3o propriedade intelectual da empresa desenvolvedora, que investiu tempo e esfor\u00e7o consider\u00e1veis para conect\u00e1-los na esperan\u00e7a de obter uma vantagem competitiva. Outros ainda, por defini\u00e7\u00e3o, constituem informa\u00e7\u00f5es confidenciais. Por exemplo, h\u00e1 experimentos para usar redes neurais para diagnosticar doen\u00e7as com base em raios X e outros exames m\u00e9dicos. Isso significa que os dados de treinamento algor\u00edtmicos cont\u00eam os dados reais de sa\u00fade de pessoas reais, que, por motivos \u00f3bvios, n\u00e3o devem cair em m\u00e3os erradas.<\/p>\n

TI difusa<\/h2>\n

Embora os algoritmos de aprendizagem de m\u00e1quina pare\u00e7am os mesmos para quem est\u00e1 de fora, eles s\u00e3o na verdade bem diferentes. No artigo cient\u00edfico, os pesquisadores prestam aten\u00e7\u00e3o especial aos modelos de difus\u00e3o<\/em> de aprendizagem de m\u00e1quina. Eles funcionam assim: os dados de treinamento s\u00e3o distorcidos (imagens de pessoas, carros, casas etc.), adicionando-se ru\u00eddo. E a rede neural \u00e9 ent\u00e3o treinada para restaurar essas imagens ao seu estado original. Esse m\u00e9todo permite gerar imagens de qualidade satisfat\u00f3ria, mas uma desvantagem potencial (em compara\u00e7\u00e3o com algoritmos em redes concorrentes generativas<\/a>, por exemplo) \u00e9 sua maior tend\u00eancia ao vazamento de dados.<\/p>\n

Os dados originais podem ser extra\u00eddos de pelo menos tr\u00eas maneiras diferentes: primeiro, usando consultas espec\u00edficas para for\u00e7ar a rede neural a produzir, n\u00e3o algo \u00fanico, gerado com base em milhares de imagens, mas uma imagem de fonte espec\u00edfica. Segundo, a imagem original pode ser reconstru\u00edda, mesmo se apenas uma parte dela estiver dispon\u00edvel. Terceiro, \u00e9 poss\u00edvel simplesmente estabelecer se uma imagem espec\u00edfica est\u00e1 ou n\u00e3o contida nos dados de treinamento.<\/p>\n

Muitas vezes, as redes neurais s\u00e3o\u2026 pregui\u00e7osas<\/em> e, em vez de produzir uma nova imagem, elas produzem do conjunto de treinamento, se esse contiver v\u00e1rias duplicatas da mesma imagem. Al\u00e9m do exemplo acima com a foto de Ann Graham Lotz, o estudo fornece alguns outros resultados semelhantes:<\/p>\n

\"Linhas<\/a>

Linhas \u00edmpares: imagens originais. Linhas pares: imagens geradas pelo Stable Diffusion v1.4. Fonte<\/a><\/p><\/div>\n

Se uma imagem for duplicada no conjunto de treinamento mais de cem vezes, h\u00e1 uma chance muito alta de seu vazamento na sua forma quase original. No entanto, os pesquisadores demonstraram maneiras de recuperar imagens de treinamento que s\u00f3 apareceram uma vez no conjunto original. Esse m\u00e9todo \u00e9 muito menos eficiente: das quinhentas imagens testadas, o algoritmo recriou aleatoriamente apenas tr\u00eas delas. O m\u00e9todo mais elaborado de atacar uma rede neural envolve recriar uma imagem original usando apenas um fragmento dela como entrada.<\/p>\n

\"Os<\/a>

Os pesquisadores pediram \u00e0 rede neural que completasse a imagem, depois de excluir parte dela. Isso pode ser feito para determinar com bastante precis\u00e3o se uma imagem espec\u00edfica estava no conjunto de treinamento. Se estivesse, o algoritmo de aprendizado de m\u00e1quina gerou uma c\u00f3pia quase exata da foto ou desenho original. Fonte<\/a><\/p><\/div>\n

Nesse ponto, focar na quest\u00e3o das redes neurais e dos direitos autorais.<\/p>\n

Quem roubou de quem?<\/h2>\n

Em janeiro de 2023, tr\u00eas artistas processaram<\/a> os criadores de servi\u00e7os de gera\u00e7\u00e3o de imagens que usavam algoritmos de aprendizagem de m\u00e1quina. Eles alegaram (justificadamente) que os desenvolvedores treinaram as redes neurais com imagens coletadas online, sem nenhum respeito pelos direitos autorais. Uma rede neural pode de fato copiar o estilo de um artista em particular e, assim, priv\u00e1-lo de renda. O artigo sugere que, em alguns casos, os algoritmos podem, por v\u00e1rios motivos, se envolver em pl\u00e1gio total, gerando desenhos, fotografias e outras imagens quase id\u00eanticas ao trabalho de artistas reais.<\/p>\n

O estudo faz recomenda\u00e7\u00f5es para fortalecer a privacidade do conjunto de treinamento original:<\/p>\n