Crédito: Dominio público de Pixabay/CC0
La privacidad de los datos viene con un costo. Existen técnicas de seguridad que protegen los datos confidenciales del usuario, como las direcciones de los clientes, de los atacantes que pueden intentar extraerlos de los modelos de IA, pero a menudo hacen que esos modelos sean menos precisos.
Los investigadores del MIT han desarrollado recientemente un marco, basado en una métrica de privacidad llamada PAC Privacy, que podría mantener el desempeño de un modelo de IA al tiempo que garantiza datos confidenciales, como imágenes médicas o registros financieros, a los trabajos a salvo de los atacantes. Ahora, han llevado este trabajo un paso más allá al hacer que su técnica sea más eficiente computacionalmente, mejorando la compensación entre precisión y privacidad, y creando una plantilla formal que puede usarse para privatizar prácticamente cualquier algoritmo sin necesidad de acceso a los trabajos internos de ese algoritmo.
El equipo ha utilizado su nueva versión de PAC Privacy para privatizar varios algoritmos clásicos para el análisis de datos y las tareas de aprendizaje automático.
También demostraron que los algoritmos más “estables” son más fáciles de privatizar con su método. Las predicciones de un algoritmo estable siguen siendo consistentes incluso cuando sus datos de entrenamiento están ligeramente modificados. Una mayor estabilidad ayuda a un algoritmo a hacer predicciones más precisas en los datos previamente no vistos.
Los investigadores dicen que la mayor eficiencia del nuevo marco de privacidad de PAC, y la plantilla de cuatro pasos que uno puede seguir para implementarla, facilitaría la técnica de implementar en situaciones del mundo real.
“Tendemos a considerar la robustez y la privacidad como no relacionados, o tal vez incluso en conflicto, construyendo un algoritmo de alto rendimiento. Primero, hacemos un algoritmo de trabajo, luego lo hacemos robusto y luego privado. Demostramos que eso no siempre es el marco correcto. Si se hace su algoritmo mejor en una variedad de entornos, puede ser esencialmente privilegiado de libre”, dice el marco correcto. Estudiante graduado y autor principal de un artículo sobre este marco de privacidad.
Se une en el periódico por Hanshen Xiao Ph.D., quien comenzará como profesora asistente en la Universidad de Purdue en el otoño; y el autor senior Srini Devadas, el profesor de ingeniería eléctrica de Edwin Sibley Webster. La investigación se presentará en el Simposio IEEE sobre seguridad y privacidad.
Estimación del ruido
Para proteger los datos confidenciales que se usaron para entrenar un modelo de IA, los ingenieros a menudo agregan ruido, o aleatoriedad genérica, al modelo, por lo que se vuelve más difícil para un adversario adivinar los datos de entrenamiento originales. Este ruido reduce la precisión de un modelo, por lo que cuanto menos ruido se pueda agregar, mejor.
PAC Privacy estima automáticamente la menor cantidad de ruido que uno debe agregar a un algoritmo para lograr un nivel de privacidad deseado.
El algoritmo original de PAC Privacy ejecuta el modelo de IA de un usuario muchas veces en diferentes muestras de un conjunto de datos. Mide la varianza, así como las correlaciones entre estos muchos resultados y utiliza esta información para estimar cuánto ruido se debe agregar para proteger los datos.
Esta nueva variante de la privacidad de PAC funciona de la misma manera, pero no necesita representar toda la matriz de correlaciones de datos en las salidas; Solo necesita las variaciones de salida.
“Debido a que lo que está estimando es mucho, mucho más pequeño que toda la matriz de covarianza, puede hacerlo mucho, mucho más rápido”, explica Sridhar. Esto significa que uno puede escalar a conjuntos de datos mucho más grandes.
Agregar ruido puede dañar la utilidad de los resultados, y es importante minimizar la pérdida de servicios públicos. Debido al costo computacional, el algoritmo original de privacidad PAC se limitó a agregar ruido isotrópico, que se agrega uniformemente en todas las direcciones. Debido a que la nueva variante estima el ruido anisotrópico, que se adapta a características específicas de los datos de entrenamiento, un usuario podría agregar menos ruido general para lograr el mismo nivel de privacidad, lo que aumenta la precisión del algoritmo privatizado.
Privacidad y estabilidad
Mientras estudiaba la privacidad de PAC, Sridhar teorizó que los algoritmos más estables serían más fáciles de privatizar con esta técnica. Ella usó la variante más eficiente de la privacidad de PAC para probar esta teoría en varios algoritmos clásicos.
Los algoritmos que son más estables tienen menos varianza en sus salidas cuando sus datos de entrenamiento cambian ligeramente. PAC Privacy divide un conjunto de datos en trozos, ejecuta el algoritmo en cada fragmento de datos y mide la varianza entre las salidas. Cuanto mayor sea la varianza, más ruido se debe agregar para privatizar el algoritmo.
Emplear técnicas de estabilidad para disminuir la varianza en las salidas de un algoritmo también reduciría la cantidad de ruido que debe agregarse para privatizarlo, explica.
“En los mejores casos, podemos obtener estos escenarios de ganar-ganar”, dice ella.
El equipo demostró que estas garantías de privacidad se mantuvieron fuertes a pesar del algoritmo que probaron, y que la nueva variante de la privacidad de PAC requería un orden de magnitud menos pruebas para estimar el ruido. También probaron el método en simulaciones de ataque, lo que demuestra que sus garantías de privacidad podrían soportar ataques de última generación.
“Queremos explorar cómo los algoritmos podrían ser codiseñados con la privacidad de PAC, por lo que el algoritmo es más estable, seguro y robusto desde el principio”, dice Devadas. Los investigadores también quieren probar su método con algoritmos más complejos y explorar más a fondo la compensación de la privacidad-utilidad.
“La pregunta ahora es, ¿cuándo suceden estas situaciones de todos en ganar y cómo podemos hacer que sucedan con más frecuencia?” Sridhar dice.
Proporcionado por el Instituto de Tecnología de Massachusetts
Cita: Nuevo método salvaguardan eficientemente datos de entrenamiento de IA confidencial (2025, 10 de abril) Recuperado el 10 de abril de 2025 de https://techxplore.com/news/2025-04-method-eficently-safeguards-sensitive-ai.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
