{"id":26274,"date":"2023-05-25T08:31:30","date_gmt":"2023-05-25T14:31:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26274"},"modified":"2023-05-25T08:31:30","modified_gmt":"2023-05-25T14:31:30","slug":"neural-networks-data-leaks","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/neural-networks-data-leaks\/26274\/","title":{"rendered":"C\u00f3mo la IA puede filtrar tus datos privados"},"content":{"rendered":"

Tus redes (neuronales) tienen filtraciones<\/h2>\n

Investigadores de universidades de EE. UU. y Suiza, en colaboraci\u00f3n con Google y DeepMind, han publicado un art\u00edculo<\/a> que muestra c\u00f3mo se pueden filtrar los datos de los sistemas de generaci\u00f3n de im\u00e1genes que utilizan los algoritmos de aprendizaje autom\u00e1tico DALL-E<\/a>, Imagen<\/a> o Difusi\u00f3n estable<\/a>. Todos estos sistemas funcionan de la misma manera del lado del usuario: escribes una consulta de texto espec\u00edfica, por ejemplo, \u201cun sill\u00f3n con forma de aguacate\u201d y a cambio obtienes una imagen generada.<\/p>\n

\"Imagen

Imagen generada por la red neuronal Dall-E. Fuente<\/a>.<\/p><\/div>\n

Todos estos sistemas est\u00e1n entrenados con un gran n\u00famero (decenas o cientos de miles) de im\u00e1genes con descripciones preparadas previamente. La idea detr\u00e1s de estas redes neuronales es que, cuando consumen una gran cantidad de datos de entrenamiento, pueden crear im\u00e1genes nuevas y \u00fanicas. Sin embargo, la conclusi\u00f3n principal del estudio nuevo es que estas im\u00e1genes no siempre son tan \u00fanicas. En algunos casos, es posible forzar la red neuronal para que reproduzca casi exactamente una imagen original utilizada previamente para el entrenamiento. Eso significa que las redes neuronales pueden revelar informaci\u00f3n privada sin saberlo.<\/p>\n

\"Imagen

Imagen generada por la red neuronal de difusi\u00f3n estable (derecha) y la imagen original del conjunto de entrenamiento (izquierda). Fuente<\/a>.<\/p><\/div>\n

M\u00e1s datos para el \u201cdios de los datos\u201d<\/h2>\n

El resultado de un sistema de aprendizaje autom\u00e1tico en respuesta a una consulta puede parecer m\u00e1gico para una persona que no es especialista: \u201c\u00a1Vaya, es como un robot que lo sabe todo!\u201d Pero en realidad no hay ninguna magia\u2026<\/p>\n

Todas las redes neuronales funcionan m\u00e1s o menos de la misma manera: se crea un algoritmo que se entrena con un conjunto de datos, por ejemplo, una serie de im\u00e1genes de gatos y perros, con una descripci\u00f3n de lo que se representa exactamente en cada imagen. Despu\u00e9s de la etapa de entrenamiento, se le muestra al algoritmo una nueva imagen y se le pide que averig\u00fce si es un gato o un perro. Desde estos humildes comienzos, los desarrolladores de dichos sistemas pasaron a un escenario m\u00e1s complejo: el algoritmo entrenado con muchas im\u00e1genes de gatos crea una imagen de una mascota que nunca existi\u00f3 a pedido. Estos experimentos se llevan a cabo no solo con im\u00e1genes, sino tambi\u00e9n con texto, v\u00eddeo e incluso voz: ya hemos escrito sobre el problema de los ultrafalsos<\/a> (por el cual los v\u00eddeos alterados digitalmente (en su mayor\u00eda) de pol\u00edticos o celebridades parecen decir cosas que en realidad nunca dijeron).<\/p>\n

Para todas las redes neuronales, el punto de partida es un conjunto de datos de entrenamiento: las redes neuronales no pueden inventar nuevas entidades de la nada. Para crear una imagen de un gato, el algoritmo debe estudiar miles de fotograf\u00edas o dibujos reales de estos animales. Hay muchos argumentos para mantener la confidencialidad de estos conjuntos de datos. Algunos de ellos son de dominio p\u00fablico; otros conjuntos de datos son propiedad intelectual de la empresa desarrolladora que invirti\u00f3 tiempo y esfuerzo considerables en su creaci\u00f3n con la esperanza de lograr una ventaja competitiva. Otros, por definici\u00f3n, constituyen informaci\u00f3n confidencial. Por ejemplo, se est\u00e1n llevando a cabo experimentos para utilizar redes neuronales a fin de diagnosticar enfermedades a partir de rayos X y otros estudios m\u00e9dicos de diagn\u00f3stico por im\u00e1genes. Esto significa que los datos de entrenamiento algor\u00edtmicos contienen los datos de salud reales de personas reales que, por razones obvias, no deben caer en las manos equivocadas.<\/p>\n

Dif\u00fandelo<\/h2>\n

Si bien los algoritmos de aprendizaje autom\u00e1tico se ven iguales para una persona ajena al tema, de hecho son diferentes. En su art\u00edculo, los investigadores prestan especial atenci\u00f3n a los modelos de difusi\u00f3n<\/em> del aprendizaje autom\u00e1tico. Funcionan as\u00ed: los datos de entrenamiento (nuevamente im\u00e1genes de personas, coches, casas, etc.) se distorsionan al a\u00f1adir ruido. Luego se entrena la red neuronal para restaurar dichas im\u00e1genes a su estado original. Este m\u00e9todo permite generar im\u00e1genes de calidad decente, pero un posible inconveniente (en comparaci\u00f3n con los algoritmos en redes generativas antag\u00f3nicas<\/a>, por ejemplo) es su mayor tendencia a filtrar datos.<\/p>\n

Los datos originales se pueden extraer de all\u00ed de, al menos, tres maneras diferentes: primero, mediante consultas espec\u00edficas, puedes forzar la salida de la red neuronal. No es una tarea \u00fanica que est\u00e1 generada en funci\u00f3n de miles de im\u00e1genes, sino una imagen de origen espec\u00edfica. En segundo lugar, la imagen original se puede reconstruir incluso si solo se dispone de una parte. En tercer lugar, es posible establecer simplemente si una imagen en particular est\u00e1 contenida o no dentro de los datos de entrenamiento.<\/p>\n

Con mucha frecuencia, las redes neuronales son\u2026 perezosas<\/em> y, en lugar de una nueva imagen, producen algo del conjunto de entrenamiento si este contiene m\u00faltiples duplicados de la misma imagen. Adem\u00e1s del ejemplo anterior con la foto de Ann Graham Lotz, el estudio ofrece otros resultados similares:<\/p>\n

\"Filas

Filas impares: las im\u00e1genes originales. Filas pares: im\u00e1genes generadas por la difusi\u00f3n estable v1.4. Fuente<\/a>.<\/p><\/div>\n

Si una imagen se duplica en el conjunto de entrenamiento m\u00e1s de cien veces, existe una probabilidad muy alta de que se filtre en su forma casi original. Sin embargo, los investigadores demostraron formas de recuperar im\u00e1genes de entrenamiento que solo aparecieron una vez en el conjunto original. Este m\u00e9todo es mucho menos eficiente: de quinientas im\u00e1genes probadas, el algoritmo recre\u00f3 aleatoriamente solo tres de ellas. El m\u00e9todo m\u00e1s art\u00edstico de atacar una red neuronal implica recrear una imagen de origen utilizando solo un fragmento de ella como entrada.<\/p>\n

\"Los

Los investigadores pidieron a la red neuronal que completara la imagen, despu\u00e9s de haber eliminado parte de ella. Esto se puede utilizar para determinar con bastante precisi\u00f3n si una imagen en particular estaba en el conjunto de entrenamiento o no. Si lo fue, el algoritmo de aprendizaje autom\u00e1tico genera una copia casi exacta de la foto o el dibujo original. Fuente<\/a>.<\/p><\/div>\n

En esta etapa, dirijamos nuestra atenci\u00f3n al problema de las redes neuronales y los derechos de autor.<\/p>\n

\u00bfQui\u00e9n le rob\u00f3 a qui\u00e9n?<\/h2>\n

En enero de 2023, tres artistas demandaron a<\/a> los creadores de servicios de generaci\u00f3n de im\u00e1genes que utilizaban algoritmos de aprendizaje autom\u00e1tico. Afirmaron (con justificaci\u00f3n) que los desarrolladores de las redes neuronales las hab\u00edan capacitado con im\u00e1genes recopiladas en l\u00ednea sin ning\u00fan respeto por los derechos de autor. De hecho, una red neuronal puede copiar el estilo de un artista en particular y, por lo tanto, privarle de ingresos. En el documento, se insin\u00faa que, en algunos casos, los algoritmos pueden cometer plagio total por diversas razones al generar dibujos, fotograf\u00edas y otras im\u00e1genes que son casi id\u00e9nticas al trabajo de personas reales.<\/p>\n

En el estudio, se incluyen recomendaciones para fortalecer la privacidad del conjunto de entrenamiento original:<\/p>\n