深度学习模型正在许多领域中被使用,从医疗诊断到金融预测。然而,这些模型计算密集,要求使用强大的云服务器。
这种对云计算的依赖带来了显著的安全风险,特别是在医疗等领域,医院可能因为隐私问题而对使用人工智能工具分析机密患者数据持谨慎态度。
为了解决这一紧迫问题,麻省理工学院的研究人员开发了一种安全协议,利用光的量子特性来确保在深度学习计算过程中,发送到云服务器的数据保持安全。
通过将数据编码到用于光纤通信系统的激光光中,该协议利用了量子力学的基本原理,使得攻击者无法在不被发现的情况下复制或拦截信息。
此外,该技术在不影响深度学习模型准确性的情况下保证了安全性。在测试中,研究人员证明他们的协议可以在确保强大安全措施的同时保持96%的准确率。
“像GPT-4这样的深度学习模型具有前所未有的能力,但需要巨大的计算资源。我们的协议使用户能够利用这些强大的模型,而不损害他们数据的隐私或模型本身的专有性,”麻省理工学院电子研究实验室(RLE)的博士后Kfir Sulimany说,他是关于该安全协议的论文的主要作者。
Sulimany的论文合作者包括麻省理工学院的博士后Sri Krishna Vadlamani、现任NTT Research, Inc.的前博士后Ryan Hamerly、电气工程与计算机科学(EECS)研究生Prahlad Iyengar,以及EECS教授、量子光子学与人工智能小组的首席研究员Dirk Englund。该研究最近在年度量子密码学会议上进行了展示。
深度学习安全的双向街道
研究人员关注的基于云的计算场景涉及两个参与方——一个拥有机密数据(如医学图像)的客户端和一个控制深度学习模型的中央服务器。
客户端希望使用深度学习模型进行预测,例如根据医学图像判断患者是否患有癌症,而不透露患者的信息。
在这种情况下,敏感数据必须被发送以生成预测。然而,在此过程中,患者数据必须保持安全。
此外,服务器不希望透露任何部分的专有模型,这样的模型可能是像OpenAI这样的公司花费多年和数百万美元构建的。
“双方都有想要隐藏的东西,”Vadlamani补充道。
在数字计算中,恶意行为者可以轻易复制从服务器或客户端发送的数据。
另一方面,量子信息无法被完美复制。研究人员在他们的安全协议中利用了这一特性,称为不可克隆原理。
在研究人员的协议中,服务器将深度神经网络的权重编码到光场中,使用激光光。
神经网络是一种深度学习模型,由多个相互连接的节点或神经元组成,这些节点对数据进行计算。权重是模型的组成部分,对每个输入进行数学运算,一层一层地进行。一个层的输出被输入到下一个层,直到最终层生成预测。
服务器将网络的权重传输给客户端,客户端根据其私有数据实施操作以获得结果。数据在服务器面前保持隐蔽。
同时,安全协议允许客户端仅测量一个结果,并防止客户端复制权重,因为光的量子特性。
一旦客户端将第一个结果输入到下一个层,协议设计为取消第一个层,以便客户端无法了解模型的其他信息。
“客户端不是测量来自服务器的所有入射光,而是仅测量运行深度神经网络和将结果输入到下一个层所需的光。然后,客户端将剩余的光发送回服务器进行安全检查,”Sulimany解释道。
由于不可克隆定理,客户端在测量结果时不可避免地对模型施加微小的误差。当服务器接收到来自客户端的剩余光时,服务器可以测量这些误差以确定是否有信息泄露。重要的是,这些剩余光被证明不会泄露客户端数据。
实用的协议
现代电信设备通常依赖光纤传输信息,因为需要支持长距离的大带宽。由于这些设备已经包含光学激光,研究人员可以在不需要任何特殊硬件的情况下将数据编码到光中以实现他们的安全协议。
在测试他们的方法时,研究人员发现它可以在保证服务器和客户端安全的同时,使深度神经网络达到96%的准确率。
当客户端执行操作时,泄露的关于模型的微小信息不足以让对手恢复任何隐藏信息,少于10%。反过来,恶意服务器只能获得大约1%的信息,而这不足以窃取客户端的数据。
“你可以保证它在两个方向上都是安全的——从客户端到服务器,以及从服务器到客户端,”Sulimany说。
“几年前,当我们开发出麻省理工学院主校区与麻省理工学院林肯实验室之间的分布式机器学习推理演示时,我意识到我们可以做一些全新的事情来提供物理层安全,基于多年来的量子密码学工作,这些工作在该测试平台上也得到了验证,”Englund说。“然而,要实现这种隐私保证的分布式机器学习的前景,必须克服许多深层次的理论挑战。直到Kfir加入我们的团队,这才成为可能,因为Kfir独特地理解实验和理论组件,以开发支撑这项工作的统一框架。”
未来,研究人员希望研究该协议如何应用于一种称为联邦学习的技术,其中多个参与方使用他们的数据来训练一个中央深度学习模型。它也可以用于量子操作,而不是他们为这项工作研究的经典操作,这可能在准确性和安全性上提供优势。
“这项工作以巧妙而引人入胜的方式结合了来自通常不相交领域的技术,特别是深度学习和量子密钥分发。通过使用后者的方法,它为前者增加了一层安全性,同时也允许看似现实的实现。这对于在分布式架构中保护隐私可能是有趣的。我期待看到该协议在实验缺陷下的表现及其实际实现,”巴黎索邦大学的CNRS研究主任Eleni Diamanti说,她并未参与这项工作。
这项工作部分得到了以色列高等教育委员会和Zuckerman STEM领导力计划的支持。
