إذا دخلت على موقع الويب This Person Does Not Exist (هذا الشخص غير موجود)، فسيعرض عليك وجهاً بشرياً يكاد يصل إلى مستوى الكمال في الواقعية، ولكنه مزيف تماماً. وفي كل مرة تقوم فيها بإعادة تحميل الصفحة، ستقوم الشبكة العصبونية للموقع بتوليد وجه آخر، ووجه آخر، مراراً وتكراراً. ويعتمد إنتاج هذا التتابع اللانهائي من الوجوه التي ركبها الذكاء الاصطناعي على شبكة عصبونية توليدية تنافسية (جان GAN)، وهي نوع من أنظمة الذكاء الاصطناعي التي تتعلم كيفية إنتاج أمثلة واقعية ومزيفة بشكل مشابه للبيانات التي تدربت عليها.
غير أن هذه الوجوه المولَّدة بهذه الطريقة، التي بدأت تظهر في الأفلام المنتجة حاسوبياً والإعلانات، قد لا تكون فريدة إلى الدرجة التي توحي بها. ففي بحث يحمل عنوان: هذا الشخص موجود (على الأرجح)، يبين الباحثون أن الكثير من الوجوه التي تنتجها أنظمة جان تحمل شبهاً كبيراً بالأشخاص الحقيقيين الموجودين في بيانات التدريب. ويمكن استخدام الوجوه المزيفة عملياً لكشف الوجوه الحقيقية التي تدربت أنظمة جان عليها، ما يجعل كشف هويات هؤلاء الأشخاص ممكناً. يمثل هذا العمل أحدث حلقة من سلسلة من الدراسات التي تشكك في الفكرة الشائعة التي تقول إن الشبكات العصبونية "صناديق سوداء" لا تكشف أي شيء عما يجري داخلها.
ولكشف بيانات التدريب المخفية، استخدم ريان ويبستر وزملاؤه بجامعة كاين نورماندي في فرنسا طريقة اختراق تسمى اختراق العضوية، لتحديد ما إذا كانت بيانات معينة قد استُخدمت في تدريب نموذج شبكة عصبونية. عادة ما تعتمد طرق الاختراق هذه على فروق ضئيلة بين طريقة معاملة النموذج للبيانات التي تدرب عليها -والتي رآها بالتالي آلاف المرات- وطريقة معاملته للبيانات الجديدة.
وعلى سبيل المثال، قد يتعرف النموذج على صورة لم يرها سابقاً بثقة، ولكنه سيكون أقل ثقة بقليل مما سيكون عليه في حالة صورة تدرب عليها. يستطيع نموذج اختراق ثانٍ تعلم كشف هذه العلامات الفارقة في سلوك النموذج الأول واستخدامها لتحديد ما إذا كانت بعض البيانات، مثل صورة معينة، جزءاً من بيانات التدريب أم لا.
يمكن أن تؤدي أساليب الاختراق هذه إلى تسريبات أمنية. وعلى سبيل المثال، قد تؤدي معرفة استخدام بيانات شخص ما لتدريب نموذج متعلق بمرض معين إلى كشف إصابة هذا الشخص بذلك المرض.
قام فريق ويبستر بتعميم هذه الفكرة، فبدلاً من تحديد الصور المستخدمة في تدريب نظام جان بالضبط، عدّلوا الطريقة لتحديد الصور الموجودة ضمن مجموعة التدريب، التي لا تظهر بشكل مطابق تماماً، بل تبدو كأنها لنفس الشخص؛ أي الوجوه التي تحمل نفس الهوية. ولتحقيق هذا، قام الباحثون في البداية بتوليد بعض الوجوه باستخدام جان، ومن ثم استخدموا نظام ذكاء اصطناعي منفصل للتعرف على الوجوه لتحديد ما إذا كانت أي من هذه الوجوه تطابق هوية أي من الوجوه الموجودة في بيانات التدريب.
وكانت النتائج مذهلة. ففي الكثير من الحالات، وجد الفريق عدة صور لأشخاص حقيقيين ضمن بيانات التدريب تبدو مطابقة لوجوه مزيفة مولدة من قبل نظام جان، ما يعني كشف هوية الأفراد الذين تدرب النظام على وجوههم.
يثير هذا العمل بعض المخاوف الجدية حول الخصوصية. يقول جان كاوتز، نائب رئيس أبحاث التعلم والإحساس في إنفيديا: "يوجد لدى أوساط الذكاء الاصطناعي إحساس خاطئ بالأمان لدى مشاركة نماذج الشبكات العصبونية المدربة بالتعلم العميق".
من الناحية النظرية، يمكن تطبيق هذه الطريقة على بيانات فردية أخرى، مثل بيانات القياسات الحيوية أو البيانات الطبية. ولكن، ومن جهة أخرى، يشير ويبستر إلى أنه يمكن أيضاً استخدام هذه الطريقة من قبل الأفراد للتحقق من استخدام بياناتهم لتدريب أنظمة الذكاء الاصطناعي دون موافقتهم.
ويستطيع الفنانون معرفة ما إذا كانت أعمالهم قد استخدمت لتدريب نظام جان في أداة تجارية، كما يقول: "يمكننا استخدام هذه الطريقة لمصلحتنا للحصول على أدلة على انتهاك حقوق الملكية الفكرية".
يمكن استخدام هذه العملية أيضاً للتأكد من عدم كشف جان عن أي معلومات خاصة في المقام الأول. فقد يستطيع نظام جان التحقق ما إذا كانت ابتكاراته تشبه أمثلة حقيقية في بيانات التدريب قبل إطلاقها باستخدام نفس التقنية التي طورها الباحثون.
غير أن هذا يفترض طبعاً إمكانية الحصول على بيانات التدريب، كما يقول كاوتز. ولهذا، توصل بالاشتراك مع زملائه في إنفيديا إلى طريقة مختلفة لكشف البيانات الخاصة، بما فيها صور الوجوه وأجسام أخرى، والبيانات الطبية، وغيرها، بحيث لا تتطلب الوصول إلى بيانات التدريب على الإطلاق.
وبدلاً من ذلك، قاموا بتطوير خوارزمية يمكن أن تعيد تشكيل البيانات التي استخدمها النموذج المدرب، وذلك بعكس الخطوات التي ينفذها النموذج في أثناء معالجة هذه البيانات. ولنأخذ كمثال شبكة عصبونية مدربة على التعرف على الصور، فحتى تحدد محتوى صورة معينة، يجب أن تمررها عبر عدة طبقات من العصبونات الاصطناعية. وتقوم كل طبقة باستخلاص مستويات مختلفة من المعلومات، بدءاً من الحواف إلى الأشكال وصولاً إلى ملامح أكثر تحديداً.
وقد وجد فريق كاوتز أنه يمكن مقاطعة النموذج في أثناء تنفيذ هذه الخطوات وعكس اتجاه العمل، وذلك لإعادة تركيب صورة مدخلة بالاعتماد على البيانات الموجودة داخل النموذج. وقاموا بتجربة هذه الطريقة على مجموعة متنوعة من نماذج التعرف على الصور وأنظمة جان. وفي واحد من هذه الاختبارات، بينوا إمكانية إعادة تشكيل صور إيماج نت بدقة، وهي واحدة من أفضل قواعد البيانات المخصصة للتعرف على الصور.
وكما في العمل الذي قدمه ويبستر، فإن الصور المركبة من جديد تشبه الصور الحقيقية إلى حد كبير. يقول كاوتز: "لقد تفاجأنا بجودة الصور النهائية".
يقول الباحثون إن هذا النوع من الاختراق ليس مجرد فكرة نظرية. فقد بدأت الهواتف الذكية وغيرها من الأجهزة الصغيرة بالاعتماد على الذكاء الاصطناعي بشكل متزايد. ونظراً لقيود الطاقة والذاكرة، فإن النماذج الموجودة على الأجهزة نفسها تكون في بعض الأحيان مُعالَجة جزئياً، ويتم إرسالها إلى السحابة للخضوع إلى المعالجة النهائية، وذلك وفق عملية تعرف باسم الحوسبة المجزأة. ويفترض معظم الباحثين أن الحوسبة المجزأة لن تكشف أي بيانات خاصة من هاتف الشخص، لأنها لا تشارك سوى النموذج نفسه. ولكن طريقة الاختراق الخاصة به تبين خطأ هذه الفكرة.
يعمل كاوتز وزملاؤه حالياً على ابتكار طريقة لمنع النماذج من تسريب البيانات الخاصة. ويقول إنهم كانوا يسعون إلى فهم المخاطر للتقليل من الثغرات.
وعلى الرغم من التباين الكبير في الطرق بينه وبين ويبستر، فإنه يعتقد أن العملين يكملان بعضهما بشكل جيد. فقد بين فريق ويبستر أن البيانات الخاصة يمكن أن تكون موجودة في خرج النموذج، على حين بين فريق كاوتز أنه يمكن كشف البيانات الخاصة بتشغيل النموذج بشكل عكسي، ما يكشف بيانات الدخل. يقول كاوتز: "إن دراسة كلا الاتجاهين أمر مهم للتوصل إلى تصور أفضل حول كيفية منع الاختراقات".