Linear Model Extraction via Factual and Counterfactual Queries

Este trabajo analiza la extracción de modelos lineales mediante consultas factuales y contrafactuales, demostrando que el tipo de distancia y la robustez de las consultas determinan drásticamente el número de consultas necesarias para recuperar los parámetros del modelo, pudiendo bastar una sola consulta con medidas diferenciables o requerir un número lineal de consultas con distancias poliedrales.

Lo esencial

Imagina que tienes una caja negra mágica (un modelo de inteligencia artificial) que toma decisiones: te dice "Sí" o "No" a una solicitud de préstamo, a una admisión universitaria o a un diagnóstico médico. Tú no sabes cómo funciona por dentro, pero puedes hacerle preguntas.

Los autores de este artículo, Daan Otto y sus colegas, se preguntaron: "¿Cuántas preguntas necesitamos hacerle a esta caja negra para adivinar exactamente cómo piensa?"

Aquí tienes la explicación de su investigación, usando analogías sencillas:

1. Los tres tipos de preguntas (Las herramientas del detective)

Para descubrir los secretos de la caja negra, los investigadores usan tres tipos de "interrogatorios":

• Preguntas Facticuales (El hecho simple):

  • Analogía: Le preguntas a la caja: "¿Si tengo 50 años y 10.000 euros en el banco, me aprueban el préstamo?".
  • Respuesta: La caja dice "Sí" o "No".
  • Lo que aprendemos: Sabemos que ese punto específico está en un lado de la línea de decisión, pero no sabemos dónde está la línea exacta.

• Preguntas Contrafactuales (El "¿Qué pasaría si...?"):

  • Analogía: Le preguntas: "¿Qué es lo mínimo que tendría que cambiar en mi situación (por ejemplo, aumentar mis ahorros) para que me digas 'Sí' en lugar de 'No'?".
  • Respuesta: La caja te da un nuevo punto: "Si tienes 12.000 euros, te digo que sí".
  • Lo que aprendemos: Este nuevo punto suele estar justo en la línea de la frontera (el borde donde la decisión cambia). Es como encontrar el borde de un acantilado.

• Preguntas Contrafactuales Robustas (El "¿Qué pasaría si... y me equivoco un poco?"):

  • Analogía: Le preguntas: "¿Qué es lo mínimo que debo cambiar para que, incluso si cometo un pequeño error al medir mis datos, sigas diciéndome que sí?".
  • Respuesta: La caja te da un punto que está un poco más lejos del borde, en un "territorio seguro".
  • Lo que aprendemos: Esto es más difícil de usar para espiar, porque la respuesta está más alejada de la línea secreta real.

2. El secreto de la "Regla" (La distancia)

Aquí es donde el papel se pone interesante. Depende de cómo midas el cambio (la "distancia") para encontrar la respuesta, cambia la dificultad del espionaje.

Imagina que la caja negra vive en un mundo con reglas de movimiento extrañas:

• Distancias Suaves (Normas diferenciables, como la distancia en línea recta o $\ell_2$):

  • Analogía: Es como moverse en un campo abierto. Si te mueves un poquito, la dirección es clara y única.
  • Resultado: ¡Es muy fácil espiar! Con una sola pregunta contrafactual (y una de verificación), puedes deducir toda la fórmula secreta de la caja. Es como si el borde del acantilado te dijera exactamente en qué dirección mirar.

• Distancias "Cuadradas" o "Rugosas" (Normas no diferenciables, como $\ell_1$ o $\ell_\infty$):

  • Analogía: Es como moverse por una ciudad de rascacielos (Manhattan). Solo puedes ir recto o girar en esquinas de 90 grados. Si te mueves, hay muchas direcciones posibles que parecen iguales.
  • Resultado: Es mucho más difícil espiar. Una sola pregunta no te da la dirección exacta. Necesitas hacer muchas más preguntas (tantas como dimensiones tenga el problema, más una) para trazar la línea completa. Es como intentar dibujar una línea recta en un mapa de cuadrícula: necesitas muchos puntos de referencia para no equivocarte.

3. La conclusión principal: ¿Qué protege mejor la privacidad?

Los autores descubrieron algo crucial para la seguridad de los modelos:

1. El enemigo es la suavidad: Si la caja negra usa reglas de cambio "suaves" (como la distancia en línea recta), es muy vulnerable. Un atacante puede descubrir toda la fórmula con muy pocas preguntas.
2. La defensa son las esquinas: Si la caja negra usa reglas de cambio "rugosas" (como las de la ciudad de Manhattan), es más segura. Se necesitan muchas más preguntas para descubrir el secreto.
3. La robustez es un escudo extra: Si la caja negra da respuestas "robustas" (asegurándose de que el cambio funcione incluso con errores), se vuelve aún más difícil de hackear. El atacante no solo necesita más preguntas, sino que necesita hacer preguntas de dos tipos diferentes (la pregunta de "qué pasaría si" y una pregunta de verificación simple) para cada intento.

En resumen

Este papel nos dice que, si quieres proteger un modelo de inteligencia artificial de ser "copiado" o "hackeado" mediante preguntas:

• Evita usar medidas de distancia suaves y redondeadas.
• Usa medidas de distancia que tengan "esquinas" o bordes duros.
• Ofrece explicaciones robustas (que tengan un margen de error), ya que esto obliga a los atacantes a hacer muchas más preguntas para lograr su objetivo.

Es como si para proteger un castillo, en lugar de tener una muralla lisa y fácil de escalar (distancia suave), construyeras una muralla llena de pinchos y esquinas difíciles (distancia rugosa) y añadieras un foso extra (robustez). ¡Hace que el trabajo de los ladrones sea mucho más largo y difícil!

Resumen técnico

A continuación presento un resumen técnico detallado del artículo "Linear Model Extraction via Factual and Counterfactual Queries" (Extracción de Modelos Lineales mediante Consultas Factuales y Contrafactuales), escrito por Daan Otto, Jannis Kurtz, Dick den Hertog e Ilker Birbil.

1. Problema y Contexto

El trabajo aborda la vulnerabilidad de seguridad en los modelos de aprendizaje automático, específicamente en modelos lineales, frente a ataques de extracción de modelos. El objetivo de un atacante en este contexto es revelar los parámetros ocultos de un modelo de caja negra ($h_{a,b}$) consultándolo con un conjunto seleccionado de puntos de datos.

El contexto se enmarca en la tensión entre la explicabilidad y la seguridad:

• La demanda de explicaciones ha llevado al uso de explicaciones contrafactuales (pequeñas perturbaciones de una instancia que cambian la decisión del modelo).
• Sin embargo, estas explicaciones pueden exponer información sensible sobre la estructura del modelo subyacente.
• El artículo investiga cuánta información revelan tres tipos de consultas:
  1. Factuales: Consultas estándar que devuelven la etiqueta de clasificación.
  2. Contrafactuales (CF): Consultas que devuelven la instancia mínima editada para cambiar la decisión (en la frontera de decisión).
  3. Contrafactuales Robustos (RCF): Consultas que devuelven una instancia tal que, incluso con perturbaciones dentro de un conjunto de robustez $S$, la decisión sigue siendo diferente a la original.

2. Metodología

Los autores asumen un clasificador lineal $h_{a,b}(x) = \text{sign}(a^\top x - b)$ en un espacio de características $p$-dimensional. Utilizan técnicas de optimización robusta y teoría de dualidad para analizar la información extraída.

A. Caracterización de Regiones de Clasificación

Para un conjunto arbitrario de consultas (factuales, CF o RCF), los autores derivan formulaciones matemáticas para determinar qué puntos pueden clasificarse con certeza ("Sí" o "No") sin consultar nuevamente al modelo.

• Definen un conjunto de incertidumbre $U_{a,b}$ de los parámetros posibles $(a, b)$ consistentes con las consultas.
• Formulan regiones de "Sí" ($X_{\text{Yes}}$) y "No" ($X_{\text{No}}$) como conjuntos convexos definidos por problemas de optimización lineal (para factuales) o cónicos cuadráticos (para contrafactuales).
• Demuestran que estas regiones pueden calcularse eficientemente mediante solvers de optimización.

B. Extracción de Parámetros (Recuperación del Modelo)

El núcleo del análisis es determinar el número mínimo de consultas necesarias para recuperar exactamente los parámetros $(a, b)$ (o una versión equivalente escalada). La metodología distingue crucialmente entre:

1. Normas Diferenciables: (Ej. $\ell_2$ con $1 < p < \infty$). El subdiferencial es un singleton (el gradiente), lo que revela directamente la dirección del vector $a$.
2. Normas No Diferenciables: (Ej. $\ell_1, \ell_\infty$). El subdiferencial es un conjunto infinito, lo que oculta la dirección exacta de $a$, requiriendo múltiples consultas para resolver la incertidumbre.

Se utiliza el Lema de Optimalidad (basado en las condiciones KKT) para relacionar la dirección de la perturbación contrafactual con el gradiente de la norma utilizada.

3. Contribuciones Clave

1. Formulaciones Matemáticas Nuevas: Derivan caracterizaciones computacionalmente tratables para las regiones de clasificación basadas en conjuntos arbitrarios de consultas, extendiendo la literatura más allá del envoltorio convexo simple.
2. Límites Superiores de Consultas: Establecen cotas precisas sobre el número de consultas necesarias para extraer un clasificador lineal completo bajo diferentes escenarios de distancia y robustez.
3. Análisis de la Función de Distancia: Demuestran que la elección de la norma (diferenciable vs. no diferenciable) tiene un impacto crítico en la seguridad del modelo.
4. Análisis de Robustez: Analizan cómo la introducción de robustez en las explicaciones contrafactuales afecta la cantidad de información filtrada.

4. Resultados Principales

Los resultados se resumen en la siguiente tabla conceptual basada en el Artículo:

Tipo de Consulta	Norma de Distancia ($\|\cdot\|_{N1}$)	Consultas Necesarias para Extracción Exacta	Observación Clave
Factual	N/A	$O(\log(\epsilon^{-1}))$	Recuperación aproximada (Lowd & Meek).
Contrafactual (CF)	Diferenciable (ej. $\ell_2$)	1	Una sola consulta es suficiente para obtener la dirección de $a$. Se necesita 1 factual adicional para determinar el lado positivo/negativo.
Contrafactual (CF)	No Diferenciable (ej. $\ell_1, \ell_\infty$)	$p + 1$	Se requieren $p+1$ consultas para encontrar $p+1$ puntos linealmente independientes en la frontera.
Contrafactual Robusto (RCF)	Diferenciable	1 RCF + 1 Factual	Similar al caso CF diferenciable, pero requiere una consulta factual extra para fijar el sesgo debido a la robustez.
Contrafactual Robusto (RCF)	No Diferenciable	$(p + 1)$ RCF + $(p + 1)$ Factual	Se duplica el número de consultas en comparación con el caso no robusto, ya que los puntos RCF no caen exactamente en la frontera, requiriendo consultas factuales para resolver el sistema no lineal.

Hallazgos Específicos:

• Privacidad de Normas: El uso de normas no diferenciables ($\ell_1, \ell_\infty$) preserva mejor la privacidad que las diferenciables, ya que requiere un número de consultas linealmente proporcional a la dimensión del espacio ($p$) en lugar de una sola.
• Costo de la Robustez: Las explicaciones contrafactuales robustas ofrecen una capa adicional de privacidad. Para extraer el modelo con RCFs no diferenciables, se necesita el doble de consultas (tanto RCF como factuales) en comparación con los CF estándar.
• Geometría de las Regiones: Para normas no diferenciables, existen áreas en el espacio de características donde la clasificación no puede determinarse con certeza incluso tras varias consultas, a diferencia de las normas diferenciables donde una sola consulta define la frontera completa.

5. Significado e Implicaciones

• Seguridad en Modelos Regulados: Dado que los modelos lineales son ampliamente utilizados en sectores regulados (banca, salud) por su interpretabilidad (GDPR, BCBS), este trabajo es crucial para entender los riesgos de seguridad al proporcionar explicaciones contrafactuales.
• Diseño de Explicaciones Seguras: El estudio sugiere que, para mitigar el riesgo de extracción de modelos, los proveedores de servicios de IA deberían:
  1. Utilizar normas no diferenciables ($\ell_1$ o $\ell_\infty$) para calcular las explicaciones contrafactuales.
  2. Considerar la entrega de explicaciones robustas, ya que esto incrementa significativamente el costo computacional (número de consultas) para un atacante.
• Fundamento Teórico: Proporciona una base matemática rigurosa que podría extenderse a modelos no lineales más complejos en trabajos futuros.

En conclusión, el artículo demuestra que la seguridad de un modelo lineal no es absoluta, sino que depende intrínsecamente de la función de distancia utilizada para generar explicaciones y de la robustez de estas explicaciones. La elección de una norma no diferenciable y la inclusión de robustez son estrategias efectivas para aumentar la privacidad del modelo frente a ataques de extracción.