{"id":27728,"date":"2023-06-02T13:58:29","date_gmt":"2023-06-02T11:58:29","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27728"},"modified":"2023-06-02T13:58:29","modified_gmt":"2023-06-02T11:58:29","slug":"neural-networks-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/neural-networks-data-leaks\/27728\/","title":{"rendered":"In che modo l’intelligenza artificiale pu\u00f2 divulgare dati privati"},"content":{"rendered":"

I punti deboli delle reti neurali<\/h2>\n

In collaborazione con Google e DeepMind, i ricercatori di alcune universit\u00e0 negli Stati Uniti e in Svizzera hanno pubblicato un articolo<\/a> che illustra in che modo i sistemi di generazione di immagini DALL-E<\/a>, Imagen<\/a> e Stable Diffusion<\/a>, che utilizzano algoritmi di machine learning, possono lasciar trapelare i dati. Dal punto di vista dell\u2019utente, il funzionamento \u00e8 sempre lo stesso: si digita una query di testo specifica, ad esempio \u201cuna poltrona a forma di avocado\u201d, e in cambio viene generata un\u2019immagine.<\/p>\n

\"Immagine<\/a>

Immagine generata dalla rete neurale DALL-E. Fonte<\/a>.<\/p><\/div>\n

Per l\u2019addestramento di tutti questi sistemi viene utilizzato un vasto numero (decine o centinaia di migliaia) di immagini con descrizioni testuali appositamente preparate. L\u2019idea alla base di queste reti neurali \u00e8 che, analizzando un\u2019enorme quantit\u00e0 di dati durante l\u2019addestramento, possono creare immagini nuove e uniche. Il risultato principale del nuovo studio, tuttavia, \u00e8 che queste immagini non sono sempre cos\u00ec uniche. In alcuni casi \u00e8 possibile forzare la rete neurale a riprodurre in modo quasi identico un\u2019immagine originale utilizzata in precedenza per l\u2019addestramento. Questo significa che le reti neurali possono inavvertitamente rivelare informazioni private.<\/p>\n

\"A<\/a>

A sinistra, immagine originale inclusa nel set di addestramento. A destra, immagine generata dalla rete neurale Stable Diffusion. Fonte.<\/a><\/p><\/div>\n

Pi\u00f9 dati per la \u201cdivinit\u00e0 dei dati\u201d<\/h2>\n

Per chi non ha competenze specifiche, la risposta di un sistema di machine learning (o apprendimento automatico) a una query pu\u00f2 sembrare frutto di magia: \u201cincredibile\u2026 \u00e8 come un robot che sa tutto!\u201d. In realt\u00e0, non si tratta di magia\u2026<\/p>\n

Tutte le reti neurali funzionano pi\u00f9 o meno allo stesso modo: si crea un algoritmo che viene addestrato utilizzando un set di dati, ad esempio una serie di immagini di cani e gatti accompagnate da una descrizione accurata del soggetto di ognuna. Al termine della fase di addestramento, all\u2019algoritmo viene mostrata una nuova immagine, con la richiesta di distinguere se si tratta di un cane o di un gatto. Gli sviluppatori di questi sistemi sono quindi passati a uno scenario pi\u00f9 complesso: l\u2019algoritmo addestrato su molte immagini di gatti crea su richiesta l\u2019immagine di un animale domestico che non \u00e8 mai esistito. Esperimenti analoghi vengono condotti non solo con le immagini, ma anche con il testo, i video e persino la voce. Ad esempio, abbiamo gi\u00e0 parlato del problema dei deepfake<\/a>, i video alterati digitalmente nei quali qualcuno (in genere, politici e altre celebrit\u00e0) sembra fare affermazioni che in realt\u00e0 non ha mai pronunciato.<\/p>\n

Per tutte le reti neurali, il punto di partenza \u00e8 sempre un set di dati di addestramento, perch\u00e9 non possono creare nuovi contenuti dal nulla. Per creare l\u2019immagine di un gatto, l\u2019algoritmo deve analizzare migliaia di fotografie o disegni reali di questi animali. Questi set di dati dovrebbero rimanere riservati per numerosi motivi. Mentre in alcuni casi si tratta di informazioni di pubblico dominio, in altri casi i set di dati sono propriet\u00e0 intellettuale della societ\u00e0 di sviluppo che ha investito tempo e risorse considerevoli nella loro creazione con la speranza di ottenere un vantaggio competitivo. In altri casi ancora, si tratta di informazioni sensibili per definizione. Sono ad esempio in corso esperimenti in cui le reti neurali vengono utilizzate per la diagnosi di alcune malattie sulla base di radiografie e di altre analisi mediche. I dati utilizzati per l\u2019addestramento degli algoritmi contengono pertanto informazioni sanitarie autentiche di persone reali che, per ovvie ragioni, non devono finire nelle mani sbagliate.<\/p>\n

Diffusione<\/h2>\n

Anche se, visti dall\u2019esterno, gli algoritmi di machine learning non sembrano presentare grandi differenze, in realt\u00e0 sono diversi. Nel loro articolo, i ricercatori prestano particolare attenzione ai modelli di diffusione<\/em> dell\u2019apprendimento automatico. Ecco come funzionano: i dati per l\u2019addestramento (ovvero, immagini di persone, automobili, abitazioni e cos\u00ec via) vengono distorti con l\u2019aggiunta di rumore. La rete neurale viene quindi addestrata a ripristinare le immagini allo stato originale. Questo metodo consente di generare immagini di qualit\u00e0 accettabile. Tuttavia, la maggiore tendenza a lasciare trapelare le informazioni rappresenta un potenziale svantaggio, rispetto ad esempio agli algoritmi utilizzati nelle reti generative antagoniste<\/a>, o GAN (Generative Adversarial Network).<\/p>\n

I dati originali possono essere estratti dalle reti neurali in almeno tre modi diversi. In primo luogo, utilizzando query specifiche, \u00e8 possibile forzare la rete neurale a generare non qualcosa di unico, creato sulla base di migliaia di immagini, ma una specifica immagine di origine. In secondo luogo, l\u2019immagine originale pu\u00f2 essere ricostruita anche se ne \u00e8 disponibile solo una parte. In terzo luogo, \u00e8 possibile stabilire con facilit\u00e0 se una determinata immagine \u00e8 contenuta o meno nei dati di addestramento.<\/p>\n

Molto spesso, le reti neurali sono pigre<\/em>: invece di creare una nuova immagine recuperano qualcosa dal set di addestramento, se contiene pi\u00f9 duplicati della stessa immagine. Oltre all\u2019esempio sopra con la foto di Ann Graham Lotz, nello studio sono riportati altri risultati simili:<\/p>\n

\"<\/a>

Righe dispari: immagini originali. Righe pari: immagini generate da Stable Diffusion v1.4. Fonte<\/a><\/p><\/div>\n

Se nel set di addestramento sono presenti pi\u00f9 di cento duplicati di un\u2019immagine, \u00e8 molto probabile che venga riproposta quasi nella sua forma originale. I ricercatori hanno tuttavia dimostrato che \u00e8 possibile recuperare in diversi modi anche le immagini presenti una sola volta nel set di addestramento originale. Questo metodo \u00e8 molto meno efficiente: su cinquecento immagini testate, l\u2019algoritmo ne ha ricreate solo tre in modo casuale. Il metodo pi\u00f9 creativo per attaccare una rete neurale consiste nel ricreare un\u2019immagine di origine utilizzandone solo un frammento come input.<\/p>\n

\"Dopo<\/a>

Dopo avere cancellato una parte di un\u2019immagine, i ricercatori hanno chiesto alla rete neurale di completarla. In tal modo, \u00e8 possibile determinare con una discreta precisione se una particolare immagine era inclusa nel set di addestramento. Se era presente, l\u2019algoritmo di apprendimento automatico ha generato una copia quasi esatta della foto o del disegno originale. Fonte<\/a><\/p><\/div>\n

A questo punto passiamo al tema del rapporto tra le reti neurali e il copyright.<\/p>\n

Chi ruba a chi?<\/h2>\n

Nel gennaio 2023 tre artisti hanno citato in giudizio<\/a> i creatori dei servizi di generazione di immagini basati su algoritmi di apprendimento automatico. Hanno affermato (giustamente) che gli sviluppatori delle reti neurali avevano eseguito l\u2019addestramento con immagini raccolte online senza alcun rispetto per il copyright. Una rete neurale pu\u00f2 infatti copiare lo stile di un particolare artista, causandogli un danno economico. L\u2019articolo suggerisce che in alcuni casi gli algoritmi possono, per vari motivi, realizzare un vero e proprio plagio, generando disegni, fotografie e altre immagini quasi identiche alle opere di persone reali.<\/p>\n

Lo studio fornisce raccomandazioni per rafforzare la privacy del set di addestramento originale:<\/p>\n