{"id":28760,"date":"2023-05-24T09:46:57","date_gmt":"2023-05-24T07:46:57","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28760"},"modified":"2023-05-24T09:48:44","modified_gmt":"2023-05-24T07:48:44","slug":"neural-networks-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/neural-networks-data-leaks\/28760\/","title":{"rendered":"C\u00f3mo puede filtrar tus datos privados la IA"},"content":{"rendered":"

Tus redes (neuronales) tienen filtraciones<\/h2>\n

Investigadores de universidades de EE. UU. y Suiza, en colaboraci\u00f3n con Google y DeepMind, han publicado un art\u00edculo<\/a> que muestra c\u00f3mo se pueden filtrar los datos de los sistemas de generaci\u00f3n de im\u00e1genes que utilizan los algoritmos de aprendizaje autom\u00e1tico DALL-E<\/a>, Imagen<\/a> o Stable Diffusion<\/a>. Todos estos sistemas funcionan de la misma manera del lado del usuario: escribes una consulta de texto espec\u00edfica, por ejemplo, \u201cun sill\u00f3n con forma de aguacate\u201d y a cambio obtienes una imagen generada.<\/p>\n

\"Imagen<\/a>

Imagen generada por la red neuronal Dall-E. Fuente.<\/a><\/p><\/div>\n

Todos estos sistemas est\u00e1n entrenados con un gran n\u00famero (decenas o cientos de miles) de im\u00e1genes con descripciones preparadas previamente. La idea detr\u00e1s de estas redes neuronales es que, cuando consumen una gran cantidad de datos de entrenamiento, pueden crear im\u00e1genes nuevas y \u00fanicas. Sin embargo, la conclusi\u00f3n principal del estudio nuevo es que estas im\u00e1genes no siempre son tan \u00fanicas. En algunos casos, es posible forzar la red neuronal para que reproduzca casi exactamente una imagen original utilizada previamente para el entrenamiento. Eso significa que las redes neuronales pueden revelar informaci\u00f3n privada sin saberlo.<\/p>\n

\"Imagen<\/a>

Imagen generada por la red neuronal de Stable Diffusion (derecha) y la imagen original del conjunto de entrenamiento (izquierda). Fuente.<\/a><\/p><\/div>\n

M\u00e1s datos para el \u201cdios de los datos\u201d<\/h2>\n

El resultado de un sistema de aprendizaje autom\u00e1tico en respuesta a una consulta puede parecer m\u00e1gico para una persona que no es especialista: \u201c\u00a1Vaya, es como un robot que lo sabe todo!\u201d Pero en realidad no hay ninguna magia\u2026<\/p>\n

Todas las redes neuronales funcionan m\u00e1s o menos igual: se crea un algoritmo que se entrena con un conjunto de datos, (por ejemplo, una serie de im\u00e1genes de perros y gatos) y una descripci\u00f3n de lo que aparece exactamente en cada imagen. Tras la fase de entrenamiento, se muestra al algoritmo una nueva imagen y se le pide que averig\u00fce si es un gato o un perro. De estos humildes comienzos, los desarrolladores de dichos sistemas pasaron a un escenario m\u00e1s complejo: el algoritmo entrenado con montones de fotos de gatos crea a petici\u00f3n una imagen de una mascota que nunca existi\u00f3. Estos experimentos se llevan a cabo no solo con im\u00e1genes, sino tambi\u00e9n con texto, v\u00eddeo e incluso voz: ya hemos escrito sobre el problema de los deepfakes<\/a> (por el cual los v\u00eddeos alterados digitalmente, en su mayor\u00eda de pol\u00edticos o celebridades, parecen decir cosas que en realidad nunca dijeron).<\/p>\n

Para todas las redes neuronales, el punto de partida es un conjunto de datos de entrenamiento: las redes neuronales no pueden inventar nuevas entidades de la nada. Para crear una imagen de un gato, el algoritmo debe estudiar miles de fotograf\u00edas o dibujos reales de estos animales. Hay muchos argumentos para mantener la confidencialidad de estos conjuntos de datos. Algunos de ellos son de dominio p\u00fablico; otros conjuntos de datos son propiedad intelectual de la empresa desarrolladora que invirti\u00f3 tiempo y esfuerzo considerables en su creaci\u00f3n con la esperanza de lograr una ventaja competitiva. Otros, por definici\u00f3n, constituyen informaci\u00f3n sensible. Por ejemplo, se est\u00e1 experimentando con redes neuronales para diagnosticar enfermedades a partir de radiograf\u00edas y otras exploraciones m\u00e9dicas. Esto significa que los datos de entrenamiento algor\u00edtmico contienen los datos sanitarios reales de personas reales, que, por razones obvias, no deben caer en manos equivocadas.<\/p>\n

Dif\u00fandelo<\/h2>\n

Aunque los algoritmos de aprendizaje autom\u00e1tico parezcan iguales, en realidad son diferentes. En su art\u00edculo, los investigadores prestan especial atenci\u00f3n a los modelos de difusi\u00f3n<\/em> del aprendizaje autom\u00e1tico. Funcionan as\u00ed: los datos de entrenamiento (de nuevo im\u00e1genes de personas, coches, casas, etc.) se distorsionan a\u00f1adiendo ruido. A continuaci\u00f3n, se entrena a la red neuronal para que devuelva esas im\u00e1genes a su estado original. Este m\u00e9todo permite generar im\u00e1genes de calidad decente, pero un posible inconveniente (en comparaci\u00f3n con los algoritmos de las redes generativas antag\u00f3nicas <\/a>o adversariales, por ejemplo) es\u00a0su mayor tendencia a filtrar datos.<\/p>\n

Los datos originales pueden extraerse de ellas al menos de tres formas distintas: En primer lugar, mediante consultas espec\u00edficas, se puede obligar a la red neuronal a producir -no algo \u00fanico, generado a partir de miles de im\u00e1genes- sino una imagen de origen concreta. En segundo lugar, se puede reconstruir la imagen original aunque s\u00f3lo se disponga de una parte de ella. En tercer lugar, es posible establecer simplemente si una imagen concreta est\u00e1 contenida o no en los datos de entrenamiento.<\/p>\n

Con mucha frecuencia, las redes neuronales son\u2026 perezosas<\/em> y, en lugar de una nueva imagen, producen algo del conjunto de entrenamiento si este contiene m\u00faltiples duplicados de la misma imagen. Adem\u00e1s del ejemplo anterior con la foto de Ann Graham Lotz, el estudio ofrece otros resultados similares:<\/p>\n

\"Filas<\/a>

Filas impares: las im\u00e1genes originales. Filas pares: im\u00e1genes generadas por Stable Diffusion v1.4. Fuente. <\/a><\/p><\/div>\n

Si una imagen se duplica en el conjunto de entrenamiento m\u00e1s de cien veces, existe una probabilidad muy alta de que se filtre en su forma casi original. Sin embargo, los investigadores demostraron formas de recuperar im\u00e1genes de entrenamiento que solo aparecieron una vez en el conjunto original. Este m\u00e9todo es mucho menos eficiente: de quinientas im\u00e1genes probadas, el algoritmo recre\u00f3 aleatoriamente solo tres de ellas. El m\u00e9todo m\u00e1s art\u00edstico de atacar una red neuronal implica recrear una imagen de origen utilizando solo un fragmento de ella como entrada.<\/p>\n

\"Los<\/a>

Los investigadores pidieron a la red neuronal que completara la imagen, despu\u00e9s de haber eliminado parte de ella. Esto se puede utilizar para determinar con bastante precisi\u00f3n si una imagen en particular estaba en el conjunto de entrenamiento o no. Si estaba, el algoritmo de aprendizaje autom\u00e1tico genera una copia casi exacta de la foto o el dibujo original. Fuente. <\/a><\/p><\/div>\n

En esta etapa, dirijamos nuestra atenci\u00f3n al problema de las redes neuronales y los derechos de autor.<\/p>\n

\u00bfQui\u00e9n le rob\u00f3 a qui\u00e9n?<\/h2>\n

En enero de 2023, tres artistas demandaron<\/a> a los creadores de servicios de generaci\u00f3n de im\u00e1genes que utilizaban algoritmos de aprendizaje autom\u00e1tico.<\/p>\n

Alegaban (con raz\u00f3n) que los creadores de las redes neuronales las hab\u00edan entrenado con im\u00e1genes recopiladas en l\u00ednea sin ning\u00fan respeto por los derechos de autor. En efecto, una red neuronal puede copiar el estilo de un artista concreto y privarle as\u00ed de ingresos. El documento insin\u00faa que en algunos casos los algoritmos pueden, por diversos motivos, incurrir en plagio descarado, generando dibujos, fotograf\u00edas y otras im\u00e1genes casi id\u00e9nticas a la obra de personas reales.<\/p>\n

En el estudio se incluyen recomendaciones para fortalecer la privacidad del conjunto de entrenamiento original:<\/p>\n