隨著深度神經網絡(DNN)的快速發展,機器學習服務(MLaaS)等有潛力的商業模式迅速崛起,AI產業化進入發展快車道。然而,保護訓練好的DNN模型免于被非法復制,重新分發或濫用(即知識產權侵權)是AI產業化進程中必須要面臨和解決的問題。尤其是當下各國企業在深度學習模型和平臺方面進行巨額研發投入,對知識產權的保護刻不容緩。沒有保護的神經網絡,如同不上鎖的車子,誰都可以開走;一旦網絡被非法拷貝及使用,原主人無法證明和維護其發明的合法知識產權。這樣企業的創新動力會受到傷害,進而給整個產業的發展前景蒙上陰影。
在近日公布的2019年神經信息處理系統大會(Conference and Workshop on Neural Information Processing Systems,NeurIPS)論文入選完整名單中,2019/37543.html">微眾銀行AI首席科學家范力欣博士與馬來亞大學的陳志勝副教授和吳錦合作的論文《對深度神經網絡所有權驗證的重新思考:嵌入數字護照以抵御模糊攻擊》創造性地提出了利用“數字護照”保護深度神經網絡知識產權的新方法。NeurIPS是全球最受矚目的AI、機器學習頂級學術會議之一,官方數據顯示,大會今年共計收到6743篇論文投稿,創下新紀錄,其中共有1428篇論文接收入選,入選率僅為21.1%
據范力欣博士介紹,傳統用于保護神經網絡所有權的水印方法存在缺陷:在訓練過程當中,嵌入數字水印的神經網絡,如同貼了主人姓名標簽的車子,但別人還是可以把車開走,甚至可以貼上偽造的標簽。這種情況下,被拷貝網絡可以被檢測出多個真假難辨的數字水印,其知識產權歸屬莫衷一是。
數字護照,神經網絡防盜新技術
能否通過新的機制杜絕這種情況?論文提出了在訓練過程當中,嵌入了數字護照的神經網絡,如同加了鎖的車子,必須使用與神經網絡配套的數字護照,才能解鎖來正常使用網絡;實驗證實一旦使用了經過修改或偽造的護照,網絡性能會嚴重退化,以致無法使用。使用數字護照的另一個優點是,即使剽竊者進一步盜取并運用了原來的數字護照,來解鎖正常使用網絡,原主人也可以憑借數字護照上的個人簽名ID,來舉證其知識產權的歸屬。
在上述原理的基礎上,研究者們還設計了黑盒,白盒和混合保護機制,來針對不同的應用場景,提供了一系列完善的知識產權保護方法。
新方法使得DNN模型的性能依賴于護照的真實性,對于去除攻擊具有魯棒性,能夠抵御模糊攻擊,并保證了原主人對神經網絡所有權的可證明性。而使用了不同的護照而使網絡性能有不同表現的這種思維也是非常新穎的,并通過了大量的實驗驗證,具有可操作性。(論文全文鏈接:https://arxiv.org/abs/1909.07830 論文源代碼:https://github.com/kamwoh/DeepIPR)
有效機制,創建AI創新良性生態
基于數字護照保護機制,剽竊者將處于兩難境地:一方面,如使用偽造數字護照, 則網絡性能大幅下降幾乎無用。而且偽造護照需要從新訓練網絡,耗時耗電,歐洲服務器租用,經濟上無利可圖。另一方面,如非法使用原數字護照,則面臨原主人的法律訴訟及追責索賠。
當今巨頭公司和創業公司幾乎每秒都在投資數十億美元來探索新的DNN模型,論文中提出的數字護照在保護保護知識產權,不被濫用,防偽,防止被競爭對手利用方面有著重要作用。AI創新,只有在保護企業或發明人的切實權益下才能正常前進,才能打造真正良性的創新環境。
走在前沿,2019/37543.html">微眾銀行在AI科研領域的探索
該研究是由2019/37543.html">微眾銀行首席人工智能科學家范力欣博士發起,而范博士所在的2019/37543.html">微眾銀行AI團隊在前沿科研領域有諸多探索,包括聯邦學習、遷移學習等。今年8月,在國際數據科學和數據挖掘領域最頂級的學術會議KDD大會上,2019/37543.html">微眾銀行AI團隊與香港科技大學等高校聯合提交的與AI精準營銷、智能推薦相關的研究論文《Beyond Personalization: Social Content Recommendation for Creator Equality and Consumer Satisfaction》被收錄,論文提出了用去中心化模型Social Attentive Exploration Network(SAEN)解決社交內容推薦的公平性問題,目前該研究成果已成功運用于2019/37543.html">微眾銀行AI營銷解決方案的智能推薦業務板塊。(論文全文鏈接:https://dl.acm.org/citation.cfm?id=3330965)
而2019/37543.html">微眾銀行作為聯邦學習的引領者,云服務器租用,不僅提出“聯邦遷移學習”的新方向,更是在全球范圍內引領和推動數據隱私保護下的AI協作生態建設。
