LeakPro 2 utökar framgångsrikt verktyg för integritetsbedömning inom AI
LeakPro 2 syftar till att skapa ett verktyg som inte bara kvantifierar risken för att en modell skulle kunna läcka känsliga data, utan även vilken inverkan ett sådant läckage kan få. Arbetet bygger på framgångarna med LeakPro 1, verktyg som redan genererar värde hos partner till AI Sweden.
LeakPro II kickoff: Viktor Valadi (Scaleout), Mattias Åkesson (Scaleout), Mats Nordlund (AI Sweden), Johan Östman (Recorded Future), Henrik Forsgren (RISE), Rickard Brännvall (RISE), Samuel Genheden (AstraZeneca), Fazeleh Hoseini (AI Sweden), Håkan Warston (Saab), Mattias Ripoll (Syndata), Marcus Lingman (Region Halland)
– Att få en uppfattning om sannolikheten för att en attack kan lyckas är en bra början, men det säger inte tillräckligt om hur allvarliga konsekvenserna skulle vara, säger Fazeleh Hoseini, forskare och projektledare för LeakPro 2. Hon fortsätter:
Handlar det om en enstaka datapunkt eller är hela databasen i farozonen? Tillhör de drabbade individerna en sårbar grupp? Och hur rimmar risken med regleringar som GDPR eller EU:s AI-förordning? I LeakPro 2 utökar vi den tekniska delen, som attacker mot generativa modeller, samtidigt som vi lägger till dimensionerna skada, regelefterlevnad och organisatorisk granskning – för att ge beslutsfattare ett verktyg som faktiskt fungerar i praktiken
Fazeleh Hoseini
Research scientist, AI Sweden
Hanterar integritetsparadoxen
För branscher som omfattas av strikta integritetskrav, som hälso- och sjukvård, finans och offentlig sektor, har "integritetsparadoxen" länge varit ett hinder för innovation: Hur kan man dra nytta av kraften i AI utan att riskera att känsliga data exponeras? Som ett svar på den frågan lanserades LeakPro 2023 för att utveckla ett verktyg som bedömer integritetsrisker inom maskininlärning.
LeakPro 1 utvecklade tekniska attacker mot AI-modeller för att kunna kvantifiera risken för att sådana attacker leder till dataläckage. Resultatet blev ett open source-verktyg som redan används av partnerorganisationer för att utvärdera säkerheten i AI-modeller.
Vi arbetar med projekt där dataintegritet är extremt viktigt, och där har vi införlivat både LeakPro som ramverk och de lärdomar vi fått genom att utveckla det tillsammans med AI Sweden och de andra partnerna. Vår avgörande fråga för LeakPro i känsliga projekt är: Kan vi göra det här? Vid integritetsbedömningar är ramverk och kunskap lika viktiga
Viktor Valadi
Scaleout Systems
Täcker också generativ AI, efterlevnad och konsekvenser
Fazeleh Hoseini liknar projektets expansion i fas två vid Penrose-triangeln, en ”omöjlig” geometrisk figur som en metafor för de motstridiga krav som AI-utvecklare, jurister och organisationer brottas med: Tekniken kräver precision, reglerna är öppna för tolkning och organisationer behöver praktiska riktlinjer.
Med partner som Scaleout som produktifierar verktyget, Syndata som arbetar med syntetiska data och Recorded Future som bidrar med expertis inom cybersäkerhet, blir LeakPro 2 en katalysator för integritetsmedveten AI i Sverige. Projektets mål att göra koden till öppen källkod är en medveten strategi för att demokratisera integritet inom AI och göra avancerad riskbedömning tillgänglig för alla, från startup-bolag till myndigheter.
En av de mest efterfrågade funktionerna i den här andra fasen av LeakPro är det tidigare nämnda stödet för stora språkmodeller (LLM:er). I den första fasen bedömdes generativa modeller vara möjliga att utvärdera, men de exkluderades på grund av sin komplexitet. Nu är de högprioriterade.
LeakPros beståndsdelar
Integritetsutvärderingar i modeller (black-box- och white-boxattacker); syntetisk data; federated learning.
LLM:er introducerar en ny typ av integritetsrisker för dataintensiva branscher som vård, finans och läkemedel, där känsliga data finns överallt. Patientjournaler, kliniska prövningar, finansiella transaktioner och proprietär forskning har alltid varit känsliga, men nu tränas LLM:er på dessa data i stor skala. Fram till nu har det inte funnits något heltäckande och systematiskt sätt att mäta eller minska risken för att de läcker ut igen, oavsett om det rör personuppgifter eller immateriella rättigheter
Fazeleh Hoseini
Research scientist
Genom att inkludera LLM:er i LeakPro 2:s uppsättning av attacker kan organisationer bedöma om de AI-modeller de använder eller delar oavsiktligt exponerar känsliga data, oavsett om det rör personlig information, forskning eller konfidentiella registerdata.
– LeakPro 2 är inte bara en fortsättning på ett framgångsrikt projekt; det är en expansion som förvandlar ett användbart verktyg till ett praktiskt ramverk för ansvarsfull AI. Utöver att mäta risker hjälper det även organisationer att aktivt minska dem genom att optimera integritetsstärkande tekniker (PET:er), såsom federerad inlärning och syntetiska data, för att hitta rätt balans mellan integritet och nytta. Genom att integrera riskbedömning, PET-optimering, regelefterlevnad och organisatoriska arbetsflöden bygger vi en resurs för ett säkrare och mer tillförlitligt införande av AI, säger Fazeleh Hoseini.
LeakPro 2 fokuserar på:
- Utöka den tekniska attacksviten till att inkludera stora språkmodeller (LLM:er), vilket fyller en kritisk lucka från LeakPro 1.
- Integrera juridiska och organisatoriska perspektiv i ett arbetsflöde anpassat för konsekvensbedömningar avseende dataskydd (DPIA), för att koppla samman tekniska risker med regelefterlevnad i praktiken.
- Skapa standardiserade, tolkningsbara resultat för att hjälpa utövare att bedöma och agera på integritetsrisker utan krav på nischad teknisk expertis.
- PET-optimering – finjustering av integritetsstärkande tekniker som federerad inlärning, syntetiska data och differential privacy för att hitta rätt balans mellan integritet och nytta.
- Kvantifiering av skada – att inte bara mäta om en attack kan lyckas, utan också koppla det till den faktiska påverkan en läcka skulle ha.
- Benchmarking-svit – att skapa den första objektiva standarden för att jämföra integritetsattacker i praktiken.
Projektsidor:
Fakta: Secure AI i AI Labs
Frågan om AI och säkerhet har blivit en central fråga i hela världen. Secure AI är också en central del i AI Labs projekt sedan många år.
– Vi delar in AI-säkerhet i tre övergripande kategorier: Att säkerställa att AI lär sig rätt saker, att AI gör rätt saker och att AI inte läcker information, säger Mats Nordlund.
Säkerhetsaspekterna av AI ingår i ett antal projekt hos AI Sweden, utöver LeakPro bland annat federerad maskininlärning i banksektorn och talangprogrammet Industrial Immersion Exchange Program, som arrangeras tillsammans med amerikanska Dakota State University och 2024 går av stapeln för tredje gången.
Läs mer om AI Swedens arbete med Secure AI.
Följ oss
AI Swedens Nyhetsbrev
Skriv upp dig på listan för det senaste inom svensk AI
AI Sweden har Lindholmen Science Park AB som formell huvudvärd.