Phát hiện thấy công cụ bảo vệ quyền riêng tư khiến dữ liệu riêng tư không được bảo vệ

Các hệ thống máy học (ML) ngày càng trở nên phổ biến không chỉ trong các công nghệ ảnh hưởng đến cuộc sống hàng ngày của chúng ta mà còn bên trong những công nghệ quan sát chúng, bao gồm cả hệ thống nhận dạng biểu cảm khuôn mặt. Các công ty sản xuất và ứng dụng các dịch vụ được triển khai rộng rãi này rất tin tưởng vào các công cụ có tên gọi là công cụ bảo vệ quyền riêng tư có sử dụng các mạng đối nghịch phát sinh (Generative Adversarial Networks - viết tắt là GAN), thường do bên thứ ba cung cấp để “tẩy xóa” các hình ảnh nhận dạng cá nhân. Nhưng chúng tốt như thế nào?

Mới đây, các nhà nghiên cứu tại Trường Đại học kỹ thuật Tandon NYU, người đã khám phá các khuôn khổ học máy đằng sau những công cụ này, đã tìm ra câu trả lời cho vấn đề này là “chúng không tốt lắm”. Trong bài báo “Subverting Privacy-Preserving GANs: Hiding Secrets in Sanitized Images”, được trình bày vào tháng trước tại Hội nghị AAAI lần thứ 35 về trí tuệ nhân tạo, một nhóm nghiên cứu do Siddharth Garg, phó giáo sư Viện kỹ thuật điện và máy tính tại NYU Tandon dẫn đầu, đã khảo sát nghiên cứu việc có hay không dữ liệu cá nhân vẫn có thể được khôi phục từ những hình ảnh đã được "xóa sạch" bởi các bộ phân biệt học sâu như các GAN bảo vệ quyền riêng tư (PP-GANs) và thậm chí đã vượt qua các bài kiểm tra thực nghiệm.

Nhóm nghiên cứu, bao gồm tiến sỹ Kang Liu, tác giả chính và Benjamin Tan, trợ lý nghiên cứu về kỹ thuật điện và máy tính, nhận thấy rằng, trên thực tế các thiết kế PP-GAN có thể bị “lật đổ” để vượt qua các bài kiểm tra quyền riêng tư, trong khi vẫn cho phép trích xuất thông tin bí mật từ các hình ảnh đã được “tẩy sạch”.

Các công cụ bảo mật dựa trên công nghệ máy học có khả năng ứng dụng rộng rãi, tiềm năng trong bất kỳ miền nhạy cảm về quyền riêng tư nào, bao gồm xóa thông tin liên quan đến vị trí khỏi dữ liệu camera của xe, làm mờ danh tính của người nào đó đã tạo mẫu chữ viết tay hoặc xóa mã vạch khỏi hình ảnh. Việc thiết kế và đào tạo các công cụ dựa trên GAN do các nguồn lực bên ngoài thực hiện cho các nhà cung cấp vì những phức tạp liên quan.

Garg cho biết: “Nhiều công cụ bảo vệ quyền riêng tư của mọi người của bên thứ ba có thể xuất hiện trên camera giám sát hoặc camera thu thập dữ liệu sử dụng các PP-GANs để thao túng hình ảnh. Các phiên bản của các hệ thống này được thiết kế để “làm sạch” hình ảnh khuôn mặt và các dữ liệu nhạy cảm khác để chỉ thông tin quan trọng của ứng dụng được lưu giữ. Mặc dù PP-GANs đối nghịch của chúng tôi vượt qua được tất cả các cuộc kiểm tra quyền riêng tư hiện có, nhưng chúng tôi nhận thấy rằng nó thực sự ẩn dữ liệu bí mật liên quan đến thuộc tính nhạy cảm, thậm chí cho phép tái tạo lại hình ảnh riêng tư ban đầu”.

Nghiên cứu cung cấp thông tin cơ bản về PP-GAN và các kiểm tra quyền riêng tư theo thực nghiệm liên quan, xây dựng một kịch bản tấn công để truy vấn liệu kiểm tra quyền riêng tư theo thực nghiệm có thể bị lật đổ hay không và vạch ra một cách tiếp cận để vượt qua các cuộc kiểm tra quyền riêng tư theo thực nghiệm. Nhóm nghiên cứu lần đầu tiên cung cấp phân tích bảo mật toàn diện về các GAN bảo vệ quyền riêng tư và chứng minh rằng việc kiểm tra quyền riêng tư hiện có là không đủ để phát hiện rò rỉ thông tin nhạy cảm. Sử dụng một phương pháp tiếp cận mật mã mới, họ thay đổi một cách bất lợi một PP-GAN hiện đại để che giấu một bí mật (ID người dùng), từ những hình ảnh khuôn mặt được “tẩy sạch” một cách có chủ đích. Họ cho thấy PP-GAN đối nghịch được đề xuất của họ có thể ẩn thành công các thuộc tính nhạy cảm trong các hình ảnh đầu ra “được tẩy sạch" để vượt qua các kiểm tra quyền riêng tư, với tỷ lệ khôi phục bí mật 100%. Lưu ý rằng các số liệu thực nghiệm phụ thuộc vào năng lực học tập và ngân sách đào tạo của những các thiết bị so sánh phân biệt. Garg và các cộng tác viên của ông cho rằng việc kiểm tra quyền riêng tư như vậy thiếu sự nghiêm ngặt cần thiết để đảm bảo quyền riêng tư. “Từ quan điểm thực tế, kết quả của chúng tôi là một lưu ý về việc thận trọng đối với việc sử dụng các công cụ “tẩy sạch” dữ liệu, và cụ thể là PP-GAN do bên thứ ba thiết kế. Kết quả thử nghiệm của chúng tôi cho thấy các cách kiểm tra quyền riêng tư dựa trên DL hiện có bị thiết sót, hạn chế và những rủi ro tiềm ẩn khi sử dụng các công cụ PP-GAN của bên thứ ba không đáng tin cậy”, Garg giải thích.

P.T.T (NASATI), theo https://www.sciencedaily.com/releases/2021/03/210303161648.htm, 3/3/2021