Linear Model Extraction via Factual and Counterfactual Queries

Diese Arbeit untersucht, wie sich durch die Einbeziehung von kontrafaktischen und robusten kontrafaktischen Abfragen die Anzahl der benötigten Anfragen zur Extraktion linearer Modelle verändert, wobei sich zeigt, dass die Wahl der Distanzfunktion und der Robustheit einen entscheidenden Einfluss auf die Sicherheit des Modells hat.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen geheimen, magischen Richter in einem schwarzen Kasten. Dieser Richter trifft Entscheidungen: Er sagt „Ja" oder „Nein" zu jedem Antrag, den Sie ihm vorlegen. Aber Sie wissen nicht, nach welchen Regeln er entscheidet. Das ist wie bei vielen modernen KI-Modellen: Sie sind mächtig, aber undurchsichtig.

Dieser Artikel untersucht, wie man diesen „schwarzen Kasten" austricksen kann, um herauszufinden, welche Regeln der Richter eigentlich anwendet. Die Forscher nennen das Modell-Extraktion (das Herausfischen des Modells).

Hier ist die einfache Erklärung der drei wichtigsten Werkzeuge, die dabei untersucht wurden, und was sie über die Sicherheit von KI verraten:

1. Die drei Arten von Fragen (Abfragen)

Um den Richter zu verstehen, können Sie ihm verschiedene Arten von Fragen stellen:

• Faktische Fragen (Der einfache Test):

  • Das Szenario: Sie geben dem Richter einen Antrag (z. B. „Ich möchte einen Kredit") und er sagt einfach „Ja" oder „Nein".
  • Die Analogie: Sie stecken eine Hand in einen Sack mit Äpfeln und Orangen und fragen: „Ist das hier ein Apfel?" Der Richter sagt „Ja".
  • Das Problem: Wenn Sie nur viele solcher Ja/Nein-Fragen stellen, müssen Sie sehr viele Fragen stellen, um das genaue Muster zu verstehen. Es ist wie beim Raten eines Wortes, indem man nur Buchstaben nachfragt.

• Kontrafaktische Fragen (Der „Was-wäre-wenn"-Test):

  • Das Szenario: Hier fragen Sie nicht nur nach dem Ergebnis, sondern verlangen eine Erklärung: „Was müsste ich ändern, damit Sie 'Ja' statt 'Nein' sagen?" Der Richter gibt Ihnen dann die kleinste mögliche Änderung zurück.
  • Die Analogie: Sie sagen: „Ich wurde abgelehnt. Was ist das minimale Ding, das ich ändern muss, um angenommen zu werden?" Der Richter antwortet: „Wenn Sie nur 50 Euro mehr auf dem Konto hätten, wäre es 'Ja'."
  • Der Clou: Diese Antwort verrät dem Angreifer genau, wo die unsichtbare Grenze (die Entscheidungslinie) liegt. Es ist, als würde der Richter Ihnen direkt auf die Grenze zeigen.

• Robuste kontrafaktische Fragen (Der „Sichere"-Test):

  • Das Szenario: Manchmal ist die Antwort des Richters zu empfindlich. Wenn Sie genau auf der Grenze stehen, kann ein winziger Fehler (z. B. ein Tippfehler in den Daten) die Entscheidung umdrehen. Eine robuste Frage verlangt also: „Was muss ich ändern, damit ich sogar dann noch 'Ja' bekomme, wenn meine Daten leicht verrauscht sind?"
  • Die Analogie: Der Richter sagt nicht nur: „Ändern Sie 50 Euro." Er sagt: „Sie brauchen mindestens 100 Euro mehr, damit Sie auch dann noch angenommen werden, wenn sich Ihre Daten um bis zu 50 Euro verschieben."
  • Der Clou: Das macht es für den Angreifer schwerer, den genauen Mechanismus zu knacken, weil die Antwort etwas „pufferig" ist.

2. Die Entdeckung: Die Art der Messung ist entscheidend

Die Forscher haben eine spannende Entdeckung gemacht, die wie ein Geheimcode funktioniert. Es kommt darauf an, wie der Richter die „Änderung" misst.

• Der glatte Weg (Differenzierbare Normen):

  • Stellen Sie sich vor, die Messung ist wie das Gleiten auf einer glatten, runden Kugel.
  • Ergebnis: Wenn der Richter diese Art von Messung benutzt, reicht eine einzige „Was-wäre-wenn"-Frage aus, um das gesamte Geheimnis des Richters zu lüften! Der Angreifer kann sofort die genaue Regel berechnen. Das ist ein riesiges Sicherheitsleck.

• Der eckige Weg (Nicht-differenzierbare Normen):

  • Stellen Sie sich vor, die Messung ist wie das Gehen in einem Würfel (mit Ecken und Kanten).
  • Ergebnis: Hier ist der Richter viel sicherer. Eine einzige Frage reicht nicht. Der Angreifer muss so viele Fragen stellen, wie es Dimensionen im Raum gibt (z. B. bei 10 Merkmalen braucht er 11 Fragen).
  • Die Lehre: Wenn Sie KI-Modelle schützen wollen, sollten Sie sicherstellen, dass die Erklärungen (die kontrafaktischen Antworten) auf einer „eckigen" Messung basieren. Das zwingt Angreifer, viel mehr Zeit und Ressourcen zu investieren.

3. Robustheit als zusätzlicher Schutzschild

Was passiert, wenn wir die „robusten" Fragen verwenden?

• Bei glatten Messungen brauchen wir immer noch nur wenige Fragen, aber wir müssen eine zusätzliche „Ja/Nein"-Frage stellen, um die Richtung zu bestätigen.
• Bei eckigen Messungen verdoppelt sich die Anzahl der benötigten Fragen fast. Der Angreifer muss nicht nur die „Was-wäre-wenn"-Frage stellen, sondern auch für jeden Schritt eine Bestätigungsfrage („War das jetzt ein Ja oder ein Nein?").

Zusammenfassung in einer Metapher

Stellen Sie sich das KI-Modell als ein Labyrinth vor.

• Faktische Fragen sind wie: „Bin ich hier links oder rechts?" (Man muss viele Schritte machen, um den Weg zu finden).
• Kontrafaktische Fragen sind wie: „Zeig mir den kürzesten Weg zur nächsten Tür."
  • Wenn das Labyrinth rund ist (glatte Messung), zeigt der Weg sofort den gesamten Grundriss. Das Labyrinth ist kaputt.
  • Wenn das Labyrinth eckig ist (wie ein Schachbrett), zeigt der Weg nur einen kleinen Teil. Man muss viele Wege ausprobieren, um das ganze Labyrinth zu verstehen.
• Robuste Fragen sind wie: „Zeig mir einen Weg, der auch dann sicher ist, wenn ich stolpere." Das macht den Weg für den Angreifer noch länger und komplizierter.

Fazit für die Praxis

Dieser Artikel zeigt uns, dass Erklärbarkeit (XAI) und Sicherheit oft im Konflikt stehen.
Wenn wir KI-Modelle so erklären, dass sie sehr präzise „Was-wäre-wenn"-Antworten geben (besonders mit glatten Messungen), machen wir sie angreifbar. Hacker können dann das geheime Modell kopieren.

Um KI sicherer zu machen, sollten wir:

1. Eckige Messungen bevorzugen (nicht glatte), damit mehr Fragen nötig sind, um das Modell zu stehlen.
2. Robuste Erklärungen nutzen, die einen Puffer haben, was die Anzahl der nötigen Angriffe weiter erhöht.

Es ist ein Balanceakt: Wir wollen dem Nutzer eine verständliche Erklärung geben, aber nicht so viel Preis, dass die Geheimnisse des Systems gestohlen werden können.

Technische Zusammenfassung

1. Problemstellung

Das Paper adressiert das Sicherheitsrisiko von Modell-Extraktionsangriffen (Model Extraction Attacks) im Kontext von maschinellen Lernmodellen, insbesondere bei linearen Klassifikatoren. Das Ziel eines Angreifers ist es, die Parameter eines Black-Box-Modells ($a, b$ für die Hyperebene $a^\top x - b = 0$) durch gezielte Abfragen zu rekonstruieren.

Ein zentraler Aspekt dieser Arbeit ist die Berücksichtigung von Erklärbarkeit (XAI). Da Modelle zunehmend Erklärungen in Form von kontrafaktischen Erklärungen (Counterfactual Explanations) bereitstellen müssen, entstehen neue Angriffsvektoren. Ein kontrafaktischer Punkt ist eine minimale Änderung eines Eingabepunkts, die das Klassifikationsergebnis des Modells umkehrt. Das Paper untersucht, wie viel Information über das Modell durch drei Arten von Abfragen preisgegeben wird:

1. Faktische Abfragen (Factual Queries): Rückgabe des Labels für einen gegebenen Punkt.
2. Exakte kontrafaktische Abfragen (Exact Counterfactuals, CF): Rückgabe des minimalen Punkts, der das Label ändert.
3. Robuste kontrafaktische Abfragen (Robust Counterfactuals, RCF): Rückgabe eines Punkts, der nicht nur das Label ändert, sondern dies auch unter Berücksichtigung einer Unsicherheitsmenge (Robustheitsmenge) $S$ tut.

Die zentrale Forschungsfrage lautet: Wie viele dieser Abfragen sind notwendig, um die Modellparameter exakt zu extrahieren, und wie hängt dies von der verwendeten Norm (z. B. $\ell_1, \ell_2, \ell_\infty$) und der Robustheit ab?

2. Methodik

Die Autoren verwenden Techniken aus der robusten Optimierung und der konvexen Analysis, um die Unsicherheitsmengen der Modellparameter basierend auf den Abfrageergebnissen zu charakterisieren.

• Mathematische Formulierung der Klassifikationsregionen:
  Für eine beliebige Menge von Abfrageergebnissen leiten die Autoren neue mathematische Formulierungen für die Regionen ab, in denen das Klassifikationsergebnis („Ja" oder „Nein") bekannt ist, ohne weitere Abfragen zu tätigen. Dies geschieht durch die Dualisierung von Optimierungsproblemen über die Unsicherheitsmenge der Parameter $(a, b)$.

  • Bei faktischen Abfragen wird gezeigt, dass die bekannten Regionen über den konvexen Hüllen der Abfragepunkte hinausgehen.
  • Bei kontrafaktischen Abfragen werden die Bedingungen als konische quadratische Mengen (conic quadratic sets) formuliert.

• Analyse der Abfrageanzahl zur Parameterextraktion:
  Die Arbeit unterscheidet zwischen differenzierbaren Normen (z. B. $\ell_2$ mit $1 < p < \infty$) und nicht-differenzierbaren Normen (z. B. $\ell_1, \ell_\infty$).

  • Differenzierbare Normen: Hier ist das Subdifferential der Norm-Funktion einelementig (der Gradient). Dies erlaubt die direkte Bestimmung der Richtung des Normalenvektors $a$.
  • Nicht-differenzierbare Normen: Das Subdifferential ist eine Menge (oft ein Polyeder). Ein einzelner Abfragepunkt reicht nicht aus, um die Richtung von $a$ eindeutig zu bestimmen. Hier müssen Strategien entwickelt werden, um eine Basis von linear unabhängigen Punkten auf der Hyperebene zu finden.

• Algorithmen zur Rekonstruktion:
  Es wird ein Algorithmus (Algorithm 1) vorgestellt, der für nicht-differenzierbare Normen eine Basis konstruiert, um durch gezielte Abfragen eine Menge linear unabhängiger Punkte auf der Hyperebene zu erhalten, aus der sich $a$ und $b$ berechnen lassen.

3. Wichtige Beiträge und Ergebnisse

A. Charakterisierung der Klassifikationsregionen

Die Autoren zeigen, dass man mit einer beliebigen Menge von Abfragen (faktisch, kontrafaktisch oder robust kontrafaktisch) effizient berechnen kann, ob ein neuer Punkt $x$ definitiv als „Ja" oder „Nein" klassifiziert wird.

• Für faktische Abfragen erweitern sich die bekannten Regionen über die konvexe Hülle hinaus.
• Für kontrafaktische Abfragen werden diese Regionen durch konische quadratische Mengen beschrieben, die effizient lösbar sind.

B. Anzahl der benötigten Abfragen (Extraktionskomplexität)

Das Paper liefert obere Schranken für die Anzahl der Abfragen, die benötigt werden, um die Parameter eines linearen Klassifikators in einem $p$-dimensionalen Raum exakt zu extrahieren:

| Abfrage-Typ | Norm-Typ | Benötigte Abfragen | Ergebnis |
| :--- | :--- | :--- | : |
| Faktisch | - | $O(\log(\epsilon^{-1}))$ | Nur $\epsilon$-Approximation (bekannt aus Literatur). |
| Kontrafaktisch (CF) | Differenzierbar (z. B. $\ell_2$) | 1 | Ein einziger CF-Punkt reicht aus, um die Hyperebene zu finden (Theorem 8). |
| Kontrafaktisch (CF) | Nicht-differenzierbar (z. B. $\ell_1, \ell_\infty$) | $p + 1$ | Es werden $p+1$ CF-Abfragen benötigt, um eine Basis zu bilden (Theorem 14). |
| Robust kontrafaktisch (RCF) | Differenzierbar | 1 RCF + 1 Faktisch | Ein RCF-Punkt bestimmt die Geometrie, ein faktischer Punkt bestimmt die Orientierung (Theorem 17). |
| Robust kontrafaktisch (RCF) | Nicht-differenzierbar | $p + 1$ RCF + $p + 1$ Faktisch | Die Anzahl verdoppelt sich im Vergleich zu CF, da für jede RCF-Abfrage auch ein faktischer Abfragepunkt zur Bestimmung der Orientierung benötigt wird (Corollary 21). |

C. Einfluss der Norm und Robustheit

• Differenzierbarkeit: Die Verwendung nicht-differenzierbarer Normen (wie $\ell_1$ oder $\ell_\infty$) für die Berechnung der kontrafaktischen Erklärungen erhöht die Sicherheit erheblich, da mehr Abfragen benötigt werden, um das Modell zu extrahieren.
• Robustheit: Robuste kontrafaktische Erklärungen bieten einen zusätzlichen Schutz. Im Vergleich zu normalen kontrafaktischen Erklärungen verdoppelt sich die Anzahl der benötigten Abfragen (insbesondere bei nicht-differenzierbaren Normen), da zusätzlich faktische Abfragen notwendig sind, um die Klassifikationsseite der Hyperebene zu bestimmen.

4. Bedeutung und Implikationen

• Sicherheit vs. Erklärbarkeit: Das Paper zeigt einen fundamentalen Trade-off auf. Während kontrafaktische Erklärungen die Transparenz und das Vertrauen in KI-Modelle erhöhen, stellen sie ein erhebliches Sicherheitsrisiko dar, da sie Angreifern ermöglichen, das proprietäre Modell zu stehlen.
• Schutzmechanismen: Die Ergebnisse liefern konkrete Richtlinien für die Gestaltung sicherer Erklärungsmechanismen:
  1. Die Verwendung nicht-differenzierbarer Normen (z. B. $\ell_1$ oder $\ell_\infty$) für die Berechnung der minimalen Änderungen macht die Modell-Extraktion deutlich aufwendiger.
  2. Die Bereitstellung robuster kontrafaktischer Erklärungen erhöht den Aufwand für Angreifer weiter, da zusätzliche faktische Abfragen notwendig sind.
• Regulatorischer Kontext: Da in stark regulierten Bereichen (Bankwesen, Medizin) lineare Modelle aufgrund ihrer Interpretierbarkeit bevorzugt werden, ist das Verständnis dieser Angriffsvektoren entscheidend, um die Integrität und den geistigen Eigentumsschutz dieser Modelle zu gewährleisten.

5. Einschränkungen und Ausblick

Die Arbeit geht von einem unbeschränkten Datenraum $\mathbb{R}^p$ und exakten, optimalen kontrafaktischen Lösungen aus. In der Praxis sind Daten oft diskret (kategorisch), Features können unveränderlich sein (constrained counterfactuals), und Heuristiken liefern oft nur suboptimale Lösungen. Zukünftige Arbeiten sollen diese Einschränkungen adressieren und die Methoden auf nicht-lineare Modelle (z. B. neuronale Netze, Entscheidungsbäume) erweitern.

Fazit: Die Studie liefert eine fundierte theoretische Basis dafür, wie die Wahl der Distanzmetrik und der Robustheit bei kontrafaktischen Erklärungen die Sicherheit linearer Modelle direkt beeinflusst. Sie demonstriert, dass durch geschickte Wahl der Normen und die Einführung von Robustheit die Extraktionskosten für Angreifer signifikant erhöht werden können.