Modelos de deep-learning estão sendo usados em muitos campos, desde diagnósticos de assistência médica até previsões financeiras. No entanto, esses modelos são tão intensivos em computação que exigem o uso de poderosos servidores baseados em nuvem.
Essa dependência da computação em nuvem representa riscos significativos à segurança, principalmente em áreas como assistência médica, onde os hospitais podem hesitar em usar ferramentas de IA para analisar dados confidenciais de pacientes devido a preocupações com privacidade.
Para lidar com essa questão urgente, pesquisadores do MIT desenvolveram um protocolo de segurança que aproveita as propriedades quânticas da luz para garantir que os dados enviados de e para um servidor em nuvem permaneçam seguros durante computações de aprendizado profundo.
Ao codificar dados na luz laser usada em sistemas de comunicação de fibra óptica, o protocolo explora os princípios fundamentais da mecânica quântica, tornando impossível que invasores copiem ou interceptem as informações sem detecção.
Além disso, a técnica garante segurança sem comprometer a precisão dos modelos de deep-learning. Em testes, o pesquisador demonstrou que seu protocolo poderia manter 96 por cento de precisão, ao mesmo tempo em que garantia medidas de segurança robustas.
“Modelos de aprendizado profundo como o GPT-4 têm capacidades sem precedentes, mas exigem recursos computacionais massivos. Nosso protocolo permite que os usuários aproveitem esses modelos poderosos sem comprometer a privacidade de seus dados ou a natureza proprietária dos próprios modelos”, diz Kfir Sulimany, um pós-doutorado do MIT no Laboratório de Pesquisa para Eletrônica (RLE) e autor principal de um artigo sobre este protocolo de segurança.
Sulimany é acompanhado no artigo por Sri Krishna Vadlamani, um pós-doutorado do MIT; Ryan Hamerly, um ex-pós-doutorado agora na NTT Analysis, Inc.; Prahlad Iyengar, um estudante de pós-graduação em engenharia elétrica e ciência da computação (EECS); e o autor sênior Dirk Englund, um professor no EECS, pesquisador principal do Quantum Photonics and Synthetic Intelligence Group e do RLE. A pesquisa foi apresentada recentemente na Annual Convention on Quantum Cryptography.
Uma by way of de mão dupla para a segurança no aprendizado profundo
O cenário de computação baseado em nuvem no qual os pesquisadores se concentraram envolve duas partes: um cliente que tem dados confidenciais, como imagens médicas, e um servidor central que controla um modelo de aprendizado profundo.
O cliente deseja usar o modelo de aprendizado profundo para fazer uma previsão, como se um paciente tem câncer com base em imagens médicas, sem revelar informações sobre o paciente.
Neste cenário, dados sensíveis devem ser enviados para gerar uma predição. No entanto, durante o processo, os dados do paciente devem permanecer seguros.
Além disso, o servidor não quer revelar nenhuma parte do modelo proprietário que uma empresa como a OpenAI gastou anos e milhões de dólares construindo.
“Ambas as partes têm algo que querem esconder”, acrescenta Vadlamani.
Na computação digital, um criminoso pode facilmente copiar os dados enviados do servidor ou do cliente.
A informação quântica, por outro lado, não pode ser perfeitamente copiada. Os pesquisadores alavancam essa propriedade, conhecida como princípio de não clonagem, em seu protocolo de segurança.
No protocolo dos pesquisadores, o servidor codifica os pesos de uma rede neural profunda em um campo óptico usando luz laser.
Uma rede neural é um modelo de aprendizado profundo que consiste em camadas de nós interconectados, ou neurônios, que realizam computação em dados. Os pesos são os componentes do modelo que fazem as operações matemáticas em cada entrada, uma camada de cada vez. A saída de uma camada é alimentada na próxima camada até que a camada closing gere uma previsão.
O servidor transmite os pesos da rede para o cliente, que implementa operações para obter um resultado com base em seus dados privados. Os dados permanecem protegidos do servidor.
Ao mesmo tempo, o protocolo de segurança permite que o cliente meça apenas um resultado e impede que ele copie os pesos devido à natureza quântica da luz.
Depois que o cliente alimenta o primeiro resultado na próxima camada, o protocolo é projetado para cancelar a primeira camada para que o cliente não possa aprender mais nada sobre o modelo.
“Em vez de medir toda a luz que entra do servidor, o cliente mede apenas a luz necessária para executar a rede neural profunda e alimentar o resultado na próxima camada. Então, o cliente envia a luz residual de volta ao servidor para verificações de segurança”, explica Sulimany.
Devido ao teorema de não clonagem, o cliente inevitavelmente aplica pequenos erros ao modelo enquanto mede seu resultado. Quando o servidor recebe a luz residual do cliente, o servidor pode medir esses erros para determinar se alguma informação vazou. É importante ressaltar que essa luz residual comprovadamente não revela os dados do cliente.
Um protocolo prático
Equipamentos modernos de telecomunicações normalmente dependem de fibras ópticas para transferir informações devido à necessidade de suportar largura de banda massiva em longas distâncias. Como esses equipamentos já incorporam lasers ópticos, os pesquisadores podem codificar dados em luz para seu protocolo de segurança sem nenhum {hardware} especial.
Quando testaram sua abordagem, os pesquisadores descobriram que ela poderia garantir a segurança do servidor e do cliente, ao mesmo tempo em que permitia que a rede neural profunda atingisse 96% de precisão.
O pequeno pedaço de informação sobre o modelo que vaza quando o cliente realiza operações equivale a menos de 10 por cento do que um adversário precisaria para recuperar qualquer informação oculta. Trabalhando na outra direção, um servidor malicioso poderia obter apenas cerca de 1 por cento das informações de que precisaria para roubar os dados do cliente.
“Você pode ter certeza de que é seguro em ambos os sentidos — do cliente para o servidor e do servidor para o cliente”, diz Sulimany.
“Há alguns anos, quando desenvolvemos nosso demonstração de inferência de aprendizagem de máquina distribuída entre o campus principal do MIT e o Laboratório Lincoln do MIT, ocorreu-me que poderíamos fazer algo totalmente novo para fornecer segurança na camada física, com base em anos de trabalho de criptografia quântica que também foi mostrado naquele banco de testes”, diz Englund. “No entanto, havia muitos desafios teóricos profundos que precisavam ser superados para ver se essa perspectiva de aprendizado de máquina distribuído com privacidade garantida poderia ser concretizada. Isso não se tornou possível até que Kfir se juntou à nossa equipe, pois Kfir entendeu exclusivamente os componentes experimentais e teóricos para desenvolver a estrutura unificada que sustenta esse trabalho.”
No futuro, os pesquisadores querem estudar como esse protocolo poderia ser aplicado a uma técnica chamada aprendizado federado, onde várias partes usam seus dados para treinar um modelo central de aprendizado profundo. Ele também poderia ser usado em operações quânticas, em vez das operações clássicas que eles estudaram para este trabalho, o que poderia fornecer vantagens tanto em precisão quanto em segurança.
“Este trabalho combina de forma inteligente e intrigante técnicas extraídas de campos que normalmente não se encontram, em specific, aprendizado profundo e distribuição de chaves quânticas. Ao usar métodos do último, ele adiciona uma camada de segurança ao primeiro, ao mesmo tempo em que permite o que parece ser uma implementação realista. Isso pode ser interessante para preservar a privacidade em arquiteturas distribuídas. Estou ansioso para ver como o protocolo se comporta sob imperfeições experimentais e sua realização prática”, diz Eleni Diamanti, diretora de pesquisa do CNRS na Universidade Sorbonne em Paris, que não estava envolvida neste trabalho.
Este trabalho foi apoiado, em parte, pelo Conselho Israelense de Educação Superior e pelo Programa de Liderança STEM Zuckerman.