IBM正在开发一种技术,允许AI研究人员对这些模型加“水印”。该技术目前正在正在申请专利。IBM表示,它在AsiaCCS'18会议上展示了使用深度神经网络(DNN)开发的水印模型,证明它非常强大。因此,它现在正在为该概念申请专利,该概念详细说明了使用简单API调用确定DNN模型所有权的远程验证机制。
该公司解释说它开发了三种水印生成算法,包括将有意义的内容与原始训练数据一起作为水印嵌入到受保护的DNN中,将不相关的数据样本作为水印嵌入到受保护的DNN中,以及将噪声作为水印嵌入受保护的DNN中。IBM表示,在使用MNIST等多个数据集进行内部测试时,带水印的DNN模型会触发意外但受控制的响应。
另一方面,IBM正在申请专利的技术不受水印去除技术的影响,如参数调整和修剪。但是,,水印框架无法保护DNN模型不被预测API窃取,攻击者可以利用结果中的查询访问和机密性之间的张力来学习机器学习模型的参数。然而,这种攻击仅在具有较少模型参数(例如决策树和逻辑回归)的传统机器学习算法的实践中证明是有效的。IBM已表示目前正在考虑在内部使用水印框架,并将探索如何将其提供给客户。
