本文由人工智能观察编译
译者:Sandy
总的来说,环境计算涵盖了应用机器学习和其他形式的人工智能程序,其特点是具有接近人类的认知、行为能力和语境意识。它创造了一个数字环境,在这个环境中,企业将技术无缝地整合到我们身边的每个事物中,最大地发挥其效用。
众所周知,机器学习需要大量的数据来实现模型教授,而我们作为用户经常把这些数据上传到谷歌或亚马逊的机器学习云服务器上,这并不总是安全的,因为有关服务器遭遇黑客攻击造成信息泄露的消息时有发生。所以,正在大肆兴起的机器学习即服务(Machine Learning as a Service,以下简称MLaaS)可以保护我们的隐私数据吗?
机器学习是当今计算机科学最热门的学科之一。事实上,云服务提供商在MLaaS方面做的很好,且发展迅速。
不过,在这个过程中存在一个“漏洞”,即所有的培训数据都必须透漏给执行该服务的操作人员,即使操作人员本身不会故意访问数据,但也不能完全保证,数据不会被有心人士利用。就像现在正处于水深火热中的Facebook,正是因为数据被第三方使用,对某些敏感事件造成了不小的影响,因此被千人所指。
最近,来自德克萨斯大学的Tyler Hunt、康奈尔大学的Congzheng Song以及新加坡国立大学的Reza Shokri共同完成了一篇名为《Chiron: Privacy-preserving Machine Learning as a Service》的论文,提出了一种保护隐私的系统,同时也允许使用MLaaS云计算服务。
隐私具有两面性
从用户的角度出发,他们不希望泄露自己的培训数据,但是在服务商看来,他们也有自己的隐私问题,即不希望客户窥探到其技术中的算法。
为了解决这个问题,Chiron会对服务提供商隐藏培训数据,与此同时,为了与现有的MLaaS平台的服务方式保持一致,Chiron也不会向用户展示培训算法以及模型结构,只会对他们提供培训模型的黑盒访问。
Chiron使用了英特尔的SGX(Software Guard Extensions)安全“飞地”,这是一种旨在提高应用程序代码安全性的架构,它对于软件的保护并不是识别或者隔离系统中出现的恶意软件,而是将合法软件对于敏感数据(如加***、密码、用户数据等)的操作封装在一个enclave中,使得恶意软件无法对这些数据进行访问。
但仅有SGX是不够的。Chiron使用了基于SGX实现的Ryoan sandbox,一种分布式沙盒。Ryoan不仅不信任底层的系统软件,同时也不能信任服务提供商提供的服务逻辑代码。
服务提供商可能将自己的代码运行在不可信的平台上,也可能与代码运行的平台进行勾结,将用户隐私泄露出去,比如通过系统调用的顺序或者参数泄露用户隐私。Ryoan同样能够抵御攻击者通过covert channel传递用户隐私。
威胁模型
Chiron的目标是在云中保护用户的培训数据,以及经过培训的模型查询和输出。为实现这一目标:
我们假设整个平台是不可信的,包括...操作系统和虚拟机监控程序。攻击者可能是机器的所有者或操作员,甚至是恶意的管理员,或者是一个已经控制了操作系统或管理程序的攻击者。攻击者…也有可能是一个恶意的操作系统开发人员,并添加了直接记录用户输入的功能。
由于经过训练的模型可以通过某些查询泄漏训练数据,Chiron确保只有提供培训数据的实体才能查询得到的模型,也就是说,即使是完全控制基础设施的攻击者也无法查询模型来访问培训数据。
似乎这一切看起来已经足够全面了,但是底层硬件还是存在一些问题
局限性
SGX本身并不是“防弹”的,特别是英特尔的性能监测单元(PMU),可以让不受信任的平台深入了解系统正在进行的工作。
SGX当前的规范允许特权软件操作“飞地”的页表,以观察其在页面级粒度上的代码和数据跟踪。这可能导致毁灭性的攻击...
由于Chiron依赖于英特尔的SGX,因此它不能与GPU一起使用,因为它们缺少类似于SGX的设施。因此,在GPU供应商开始认真对待安全性问题之前,目前的实施情况远非理想。
性能
尽管存在局限性,Hunt等人测试了Chiron,发现它的性能可以与标准的、不受保护的基础设施相竞争。
小智观点总结
如今,在这个现代化的、庞大的数据世界里,有成千上万的漏洞存在,也有成千上万的漏洞被恶意利用。保证所有数据万无一失似乎不太可能,但是我们能做的就是一点点进步,一点点变得更好。不可否认,Chiron的问世,就是进步的表现。
所以,现在我们要让这种不断进步的状态继续保持,总有一天大数据会带领我们在世界范围内不断狂奔!