Novo Método Revela Riscos de Recuperação de Texto em Aprendizado Federado
Pesquisas mostram que há vulnerabilidades na abordagem de privacidade de texto do aprendizado federado.
― 6 min ler
Índice
O Aprendizado Federado é um método que permite que vários clientes trabalhem juntos pra treinar um modelo usando seus próprios dados privados sem precisar compartilhar com os outros. Isso é especialmente importante quando lidamos com informações sensíveis, tipo registros médicos ou documentos legais. Mas, pesquisas recentes levantaram preocupações de que, mesmo que os clientes não compartilhem seus dados reais, ainda pode ser possível que alguém reconstrua esses dados a partir das atualizações de modelo compartilhadas, conhecidas como Gradientes.
Esse artigo fala sobre um novo método criado pra recuperar o texto de entrada exatamente a partir dos gradientes compartilhados em um setup de aprendizado federado, com foco em grandes modelos de linguagem (LLMs). A gente explica os desafios que enfrentamos no passado ao tentar recuperar dados de texto e como nossa abordagem supera esses desafios.
Contexto do Aprendizado Federado
No aprendizado federado, os clientes treinam um modelo localmente e só enviam suas atualizações, que são os gradientes, pra um servidor central. Esses gradientes são então agregados pra melhorar o modelo sem comprometer a Privacidade dos clientes. Esse método é particularmente interessante pra aplicações onde a privacidade dos dados é crucial.
Apesar das vantagens, o aprendizado federado enfrenta sérios desafios relacionados à privacidade dos dados. Métodos anteriores de recuperação de dados a partir de gradientes compartilhados mostraram que é possível extrair informações sensíveis desses gradientes, especialmente quando lidamos com dados de imagem. No entanto, recuperar dados de texto tem se mostrado muito mais difícil e geralmente resulta em aproximações em vez de reconstruções exatas.
O Problema da Recuperação de Texto
Dados de texto apresentam desafios únicos em comparação com dados de imagem. Quando se trata de recuperar imagens, os pesquisadores descobriram maneiras de produzir reconstruções de alta qualidade. No entanto, a natureza discreta dos dados de texto complica bastante as coisas. Os métodos de otimização usados para dados de imagem não funcionam bem para texto, já que as técnicas geralmente dependem de valores contínuos.
Tentativas anteriores de recuperar texto a partir de gradientes foram limitadas a pequenos lotes ou sequências curtas. Assim, elas tiveram dificuldade em manter a precisão, levantando preocupações sobre as garantias de privacidade oferecidas pelos sistemas de aprendizado federado. Essa limitação é particularmente problemática em áreas onde a recuperação precisa de dados pode levar a violações de privacidade.
Nossa Solução: Inversão Exata de Gradientes para Texto
Pra lidar com esses desafios, a gente introduz uma nova abordagem que permite a recuperação exata do texto de entrada a partir dos gradientes compartilhados no aprendizado federado. Esse é o primeiro método do tipo que consegue recuperar lotes inteiros de texto de forma precisa, em vez de depender de aproximações.
A ideia central do nosso método é baseada em dois insights:
- Os gradientes produzidos nas camadas de auto atenção das arquiteturas transformer (a base de muitos LLMs) tendem a ter uma estrutura de baixa rank.
- A representação de tokens de entrada pode ser verificada eficientemente pra ver se eles fazem parte dos dados do cliente.
Ao aproveitar esses insights, conseguimos determinar de forma eficiente se uma sequência de tokens específica fazia parte da entrada original, o que permite a recuperação exata dos textos de entrada.
Visão Geral do Método
Nosso método consiste em duas partes principais: recuperar tokens individuais e reconstruir sequências inteiras.
Recuperação de Tokens
Começamos considerando todos os tokens possíveis no vocabulário de um modelo. Pra cada posição na sequência de entrada, calculamos suas representações e usamos um processo de filtragem eficiente pra encontrar quais tokens fazem parte da entrada original do cliente. Ao comparar com os gradientes, conseguimos determinar os tokens corretos em cada posição.
Recuperação de Sequência
Uma vez que temos os tokens corretos, podemos reconstruir sequências completas. Esse processo aproveita a natureza causal das máscaras de auto atenção usadas nas arquiteturas de decodificador. Ao estender iterativamente sequências parciais com os tokens corretos, conseguimos montar toda a sequência de entrada.
Nosso método lida com arquiteturas baseadas em codificador e decodificador de forma eficaz. Para arquiteturas de decodificador, conseguimos fazer essa extensão de forma gananciosa, enquanto para arquiteturas de codificador, usamos uma busca mais exaustiva combinada com várias heurísticas pra manter o processo gerenciável.
Avaliação
Fizemos avaliações extensivas do nosso método em diferentes configurações e arquiteturas de modelo pra demonstrar sua eficácia. Os resultados indicam que nossa abordagem permite quase reconstruções perfeitas de texto de entrada tanto pra modelos baseados em codificador quanto em decodificador, superando de longe as técnicas anteriores.
Configuração Experimental
Testamos nosso método usando vários modelos, incluindo BERT e GPT-2, em múltiplos conjuntos de dados de análise de sentimento. Isso nos permitiu examinar sequências de comprimentos variados, além de avaliar a escalabilidade da nossa abordagem.
Resultados
No geral, nosso método teve um desempenho excepcional na recuperação de texto de entrada, incluindo sequências longas e grandes lotes. Em muitos casos, conseguimos recuperar os dados originais com uma precisão quase impecável, demonstrando a eficácia da nossa abordagem em cenários do mundo real.
Implicações para a Privacidade
A capacidade de recuperar texto a partir de gradientes levanta sérias preocupações de privacidade para o aprendizado federado. Nossas descobertas sugerem que os métodos atuais de proteção dos dados dos clientes podem ser inadequados, especialmente ao usar grandes modelos de linguagem que exibem as vulnerabilidades que identificamos.
Assim, é crucial que organizações que trabalham com dados sensíveis estejam cientes desses riscos. Implementar salvaguardas adequadas por meio de métodos de agregação segura, perturbação de gradientes ou outras medidas protetivas é essencial pra proteger a privacidade dos clientes.
Conclusão
Em resumo, nosso trabalho representa um avanço significativo no campo do aprendizado federado e da privacidade de dados. Ao desenvolver um método de recuperação exata de texto a partir de gradientes, destacamos as vulnerabilidades presentes nos sistemas atuais e enfatizamos a importância de abordar essas questões.
As descobertas ressaltam a necessidade de continuar a pesquisa em medidas de privacidade eficazes, especialmente à medida que os tamanhos e complexidades dos modelos aumentam. Nosso trabalho tem como objetivo incentivar uma exploração mais aprofundada de ambientes de aprendizado colaborativo seguros, garantindo que dados sensíveis continuem protegidos diante de ameaças em evolução.
Título: DAGER: Exact Gradient Inversion for Large Language Models
Resumo: Federated learning works by aggregating locally computed gradients from multiple clients, thus enabling collaborative training without sharing private client data. However, prior work has shown that the data can actually be recovered by the server using so-called gradient inversion attacks. While these attacks perform well when applied on images, they are limited in the text domain and only permit approximate reconstruction of small batches and short input sequences. In this work, we propose DAGER, the first algorithm to recover whole batches of input text exactly. DAGER leverages the low-rank structure of self-attention layer gradients and the discrete nature of token embeddings to efficiently check if a given token sequence is part of the client data. We use this check to exactly recover full batches in the honest-but-curious setting without any prior on the data for both encoder- and decoder-based architectures using exhaustive heuristic search and a greedy approach, respectively. We provide an efficient GPU implementation of DAGER and show experimentally that it recovers full batches of size up to 128 on large language models (LLMs), beating prior attacks in speed (20x at same batch size), scalability (10x larger batches), and reconstruction quality (ROUGE-1/2 > 0.99).
Autores: Ivo Petrov, Dimitar I. Dimitrov, Maximilian Baader, Mark Niklas Müller, Martin Vechev
Última atualização: 2024-11-13 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2405.15586
Fonte PDF: https://arxiv.org/pdf/2405.15586
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.