Core Concepts
Eine einheitliche Methode zur Mitgliedschaftsinferenz für visuelle selbstüberwachte Encoder, die die teilbewusste Fähigkeit dieser Encoder ausnutzt.
Abstract
Die Studie präsentiert eine einheitliche Methode zur Mitgliedschaftsinferenz für visuelle selbstüberwachte Encoder, genannt PartCrop. Im Gegensatz zu bisherigen Ansätzen, die die Trainingsmethode und -details des Zielmodells kennen müssen, funktioniert PartCrop auch dann, wenn diese Informationen nicht bekannt sind.
PartCrop nutzt die beobachtete Eigenschaft, dass selbstüberwachte Encoder eine ausgeprägte "teilbewusste Fähigkeit" entwickeln, d.h. sie sind besonders sensitiv auf Teile von Objekten in Trainingsbildern. Daher extrahiert PartCrop zufällig Bildausschnitte, die potenzielle Objektteile enthalten, und misst deren Ähnlichkeit zum Gesamtbild. Trainingsbilder zeigen dabei eine stärkere Reaktion auf diese Objektteile als Testbilder, was PartCrop zur Mitgliedschaftsinferenz ausnutzt.
Die Experimente zeigen, dass PartCrop effektiv Mitgliedschaft für verschiedene selbstüberwachte Encoder (kontrastives Lernen, maskierte Bildmodellierung) und Datensätze erkennen kann, während bisherige Methoden wie EncoderMI an der Unwissenheit über das Trainingsverfahren scheitern. Zusätzlich werden Verteidigungsansätze wie frühes Stoppen, Differential Privacy und ein maßgeschneiderter Ansatz evaluiert.
Stats
Die Ähnlichkeit zwischen Bildausschnitten und dem Gesamtbild ist bei Trainingsbildern höher als bei Testbildern.
Die Ähnlichkeitsverteilung der Bildausschnitte zu Trainingsbildern unterscheidet sich stärker von einer Gleichverteilung und Normalverteilung als bei Testbildern.
Quotes
"Selbstüberwachtes Lernen zeigt Versprechen beim Nutzen umfangreicher unmarkierter Daten, konfrontiert aber auch erhebliche Datenschutzbedenken, insbesondere im Bereich Vision."
"In der Praxis werden selbstüberwachte Modelle typischerweise als Black Boxen behandelt, insbesondere von Internetriesen wie Google."