論文の概要: Examining the Threat Landscape: Foundation Models and Model Stealing
- arxiv url: http://arxiv.org/abs/2502.18077v1
- Date: Tue, 25 Feb 2025 10:46:26 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-26 15:23:16.857729
- Title: Examining the Threat Landscape: Foundation Models and Model Stealing
- Title(参考訳): 脅威景観:基礎モデルとモデルステアリング
- Authors: Ankita Raj, Deepankar Varma, Chetan Arora,
- Abstract要約: コンピュータビジョンのためのファンデーションモデル(FM)は、リッチで堅牢な表現を学習し、タスク/ドメイン固有のデプロイメントへの適応を、微調整をほとんど行わずに行うことができる。
FMから微調整されたモデルは、ResNetsのような従来の視覚アーキテクチャと比較して、モデル盗難に対する感受性を高めていることを示す。
- 参考スコア(独自算出の注目度): 5.835171003637014
- License:
- Abstract: Foundation models (FMs) for computer vision learn rich and robust representations, enabling their adaptation to task/domain-specific deployments with little to no fine-tuning. However, we posit that the very same strength can make applications based on FMs vulnerable to model stealing attacks. Through empirical analysis, we reveal that models fine-tuned from FMs harbor heightened susceptibility to model stealing, compared to conventional vision architectures like ResNets. We hypothesize that this behavior is due to the comprehensive encoding of visual patterns and features learned by FMs during pre-training, which are accessible to both the attacker and the victim. We report that an attacker is able to obtain 94.28% agreement (matched predictions with victim) for a Vision Transformer based victim model (ViT-L/16) trained on CIFAR-10 dataset, compared to only 73.20% agreement for a ResNet-18 victim, when using ViT-L/16 as the thief model. We arguably show, for the first time, that utilizing FMs for downstream tasks may not be the best choice for deployment in commercial APIs due to their susceptibility to model theft. We thereby alert model owners towards the associated security risks, and highlight the need for robust security measures to safeguard such models against theft. Code is available at https://github.com/rajankita/foundation_model_stealing.
- Abstract(参考訳): コンピュータビジョンのためのファンデーションモデル(FM)は、リッチで堅牢な表現を学習し、タスク/ドメイン固有のデプロイメントへの適応を、微調整をほとんど行わずに行うことができる。
しかし、全く同じ強度で、盗難攻撃のモデルに脆弱なFMベースのアプリケーションを作ることができると仮定する。
経験的分析により、FMから微調整されたモデルには、ResNetsのような従来の視覚アーキテクチャと比較して、モデル盗難に対する感受性が高められていることが明らかとなった。
我々は、この行動は、前訓練中にFMが学習した視覚パターンと特徴の包括的エンコーディングによるもので、攻撃者と被害者の両方がアクセス可能であると仮定する。
我々は,視覚変換器を用いた被害者モデル(ViT-L/16)に対する94.28%の合意(被害者との一致予測)を,ResNet-18被害者に対する73.20%の合意(ViT-L/16を泥棒モデルとして使用する場合)と比較した。
私たちは、初めて、ストリームタスクにFMを使うことが、盗難をモデル化できないため、商用APIにデプロイする上でベストな選択ではないことを示しています。
これにより、モデル所有者に関連するセキュリティリスクを警告し、そのようなモデルを盗難から保護するための堅牢なセキュリティ対策の必要性を強調します。
コードはhttps://github.com/rajankita/foundation_model_stealing.comで公開されている。
関連論文リスト
- Model for Peanuts: Hijacking ML Models without Training Access is Possible [5.005171792255858]
モデルハイジャック(英: Model hijacking)とは、被害者のモデルをハイジャックして元のモデルとは異なるタスクを実行する攻撃である。
本研究では、未知の入力サンプルを分類するために、SnatchMLと呼ばれる推論時にモデルハイジャックを行うための簡単なアプローチを提案する。
最初にメタ学習と呼ぶ新しいアプローチを提案し、モデルが元のデータセットをトレーニングしながら潜在的に悪意のあるタスクを解放するのに役立つように設計した。
論文 参考訳(メタデータ) (2024-06-03T18:04:37Z) - Data-Free Hard-Label Robustness Stealing Attack [67.41281050467889]
本稿では,Data-Free Hard-Label Robustness Stealing(DFHL-RS)攻撃について紹介する。
ターゲットモデルのハードラベルをクエリするだけで、モデル精度とロバスト性の両方を盗むことができる。
本手法は,AutoAttackに対して77.86%,頑健な39.51%の精度を実現する。
論文 参考訳(メタデータ) (2023-12-10T16:14:02Z) - Army of Thieves: Enhancing Black-Box Model Extraction via Ensemble based
sample selection [10.513955887214497]
Model Stealing Attacks (MSA)では、ラベル付きデータセットを構築するために、機械学習モデルを繰り返しクエリされる。
本研究では,泥棒モデルとして深層学習モデルのアンサンブルの利用について検討する。
CIFAR-10データセットでトレーニングしたモデルに対して,従来よりも21%高い逆サンプル転送性を実現する。
論文 参考訳(メタデータ) (2023-11-08T10:31:29Z) - Beyond Labeling Oracles: What does it mean to steal ML models? [52.63413852460003]
モデル抽出攻撃は、クエリアクセスのみで訓練されたモデルを盗むように設計されている。
モデル抽出攻撃の成功に影響を及ぼす要因について検討する。
我々は,ME攻撃の敵の目標を再定義するようコミュニティに促した。
論文 参考訳(メタデータ) (2023-10-03T11:10:21Z) - Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - Are You Stealing My Model? Sample Correlation for Fingerprinting Deep
Neural Networks [86.55317144826179]
従来の方法は、常にモデル指紋として転送可能な敵の例を利用する。
本稿では,SAmple correlation (SAC) に基づく新しいモデル盗難検出手法を提案する。
SACは、敵の訓練や移動学習を含む様々なモデル盗難攻撃をうまく防いでいる。
論文 参考訳(メタデータ) (2022-10-21T02:07:50Z) - MOVE: Effective and Harmless Ownership Verification via Embedded
External Features [109.19238806106426]
本稿では,異なる種類のモデル盗難を同時に防ぐために,効果的かつ無害なモデル所有者認証(MOVE)を提案する。
我々は、疑わしいモデルがディフェンダー特定外部特徴の知識を含むかどうかを検証し、所有権検証を行う。
特に、包括的モデル保護を提供するために、ホワイトボックスとブラックボックスの両方の設定でMOVE法を開発した。
論文 参考訳(メタデータ) (2022-08-04T02:22:29Z) - Defending against Model Stealing via Verifying Embedded External
Features [90.29429679125508]
トレーニングサンプルがなく、モデルパラメータや構造にアクセスできない場合でも、敵はデプロイされたモデルを盗むことができる。
我々は、不審なモデルがディフェンダー特定遠近法の特徴の知識を含んでいるかどうかを検証することによって、他の角度からの防御を探索する。
本手法は, 複数段階の盗難処理によって盗難モデルが得られた場合でも, 同時に異なる種類の盗難モデルを検出するのに有効である。
論文 参考訳(メタデータ) (2021-12-07T03:51:54Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。