Ученый Рогов: водяные знаки в нейросетях позволяют найти украденные ИИ-модели

Цифровые водяные знаки – это технология, созданная для защиты авторских прав мультимедийных файлов. Любой цифровой водяной знак представляет собой некоторую информацию, которая добавляется к исходному цифровому файлу, будь то изображение, документ, видео или аудио. Подобная технология применяется для определения того, что вашу нейросеть кто‑то скопировал и выдает за свою.

Об этом "Газете.Ru" рассказал руководитель научной группы "Доверенные и безопасные интеллектуальные системы" научно-исследовательского Института искусственного интеллекта AIRI Олег Рогов.

"Проблема использования водяных знаков в ИИ состоит в том, что нейросетевые технологии — многосоставные. Это затрудняет отслеживание происхождения конкретных алгоритмов или фрагментов кода. Кроме того, украденные модели подвергаются модификации, злоумышленники специальными методами усложняют установление прямой связи между украденной моделью и ее первоисточником", –рассказал Рогов.

По словам специалиста, большинство подобных методов маркировки моделей содержат существенный недостаток — поведение водяных знаков плохо сохраняется в процессе процедуры кражи с атакой на функциональность.

"Мы создали собственный способ маркировки нейросетей. Он позволяет получить уникальные наборы данных-триггеров, которые встраиваются в ИИ-модель и сохраняются даже после кражи. Триггерное множество данных, про которое я говорю, — это набор входных данных, объектам которого нейронная сеть ставит в соответствие специфические, заранее определенные предсказания: например, для классификационной нейронной сети это может быть набор картинок котиков, определяющихся нейронной сетью как собаки.

Получается, что у нас к каждой нейронной сети подбирается свой уникальный ключ маркировки", – рассказал специалист.

Эти водяные знаки проявляются, выражаясь в определенном "поведении" модели в ответ на установленную разработчиком процедуру проверки. Подход может быть применен к любой модели без ущерба для производительности и с минимальными вычислительными затратами. Такой подход превзошел по эффективности разработки из США и Южной Кореи. Их водяные знаки терялись при краже нейросети, российские водяные знаки эффективны в 95%.

Подробнее о том, как работают цифровые водяные знаки, кто и для чего ворует нейросети и можно ли установить украденную ИИ-модель или части кода при помощи таких водяных знаков — в интервью Рогова "Газете.Ru".