Curation Leaks: Membership Inference Attacks against Data Curation for Machine Learning

Cet article révèle que les pipelines de curation de données, conçus pour sélectionner des données publiques afin d'entraîner des modèles privés sans jamais exposer directement les données sensibles, sont en réalité vulnérables à des attaques d'inférence de membre à chaque étape du processus, démontrant ainsi la nécessité d'intégrer des garanties de confidentialité formelles comme la confidentialité différentielle dans les méthodes de curation.

L'essentiel

🕵️‍♂️ L'Enquête : "Fuites de Curateurs" (Curation Leaks)

Imaginez que vous êtes un grand chef cuisinier (le développeur d'une intelligence artificielle). Vous voulez créer le meilleur plat du monde (un modèle d'IA performant), mais vous avez un problème : vos ingrédients secrets (vos données privées, comme des dossiers médicaux ou des relevés bancaires) sont trop sensibles pour être exposés au public. Vous ne pouvez pas les mettre dans la grande marmite commune.

La solution habituelle (La "Curation") :
Au lieu de cuisiner avec vos ingrédients secrets, vous les utilisez seulement pour goûter et choisir les meilleurs ingrédients publics.

• Vous avez un immense marché public (des millions d'images ou de textes trouvés sur internet).
• Vous prenez vos petits échantillons secrets pour dire : "Tiens, ce public ressemble beaucoup à mon secret, je vais le garder !" ou "Non, celui-ci ne sert à rien, je le jette."
• Vous ne cuisinez ensuite qu'avec les ingrédients publics que vous avez sélectionnés.

L'idée reçue :
On pensait que c'était ultra-sûr. Puisque le modèle final n'a jamais vu vos ingrédients secrets, il ne peut pas les révéler. C'est comme si vous aviez utilisé votre recette secrète pour choisir les épices, mais que le plat fini ne contenait que des épices achetées en magasin.

La mauvaise nouvelle (Le papier de recherche) :
Les chercheurs de ce papier disent : "Attention ! Ce n'est pas aussi sûr que ça !"
Même si le plat final ne contient pas vos ingrédients secrets, le simple fait d'avoir utilisé vos secrets pour faire le tri a laissé des traces invisibles. Un détective malveillant peut regarder le résultat et deviner quels ingrédients secrets vous avez utilisés pour faire le tri.

---

🧩 Les Trois Façons de se faire "Repérer"

Les chercheurs ont montré qu'un espion peut vous trahir à trois étapes différentes du processus :

1. La Liste de Courses (Les Scores de Curation)

Imaginez que vous avez une liste où vous notez chaque ingrédient public avec un score : "9/10, c'est parfait pour mon secret".

• Le problème : Si vous utilisez une méthode simple (comme comparer les images), le score d'un ingrédient public dépend souvent d'un seul ingrédient secret précis.
• L'attaque : L'espion regarde la liste. S'il voit qu'un ingrédient public a un score très élevé, il peut dire : "Ah ! Ce score ne peut venir que de l'ingrédient secret X. Donc, X était dans votre panier !". C'est comme si votre liste de courses révélait exactement ce que vous avez acheté au supermarché secret.

2. Le Panier Final (La Sélection)

Même si vous ne donnez pas les scores, mais seulement le panier final (les ingrédients choisis), l'espion peut encore vous piéger.

• L'attaque : L'espion essaie de deviner votre panier. Il se dit : "Si j'ajoute l'ingrédient secret X à ma propre liste de choix, est-ce que le panier final ressemble plus à celui du chef ?". En jouant à ce jeu de "devine qui est dans le panier", il peut reconstituer votre liste secrète, ingrédient par ingrédient.

3. Le Plat Finalement Servi (Le Modèle Entraîné)

C'est l'attaque la plus astucieuse. L'espion ne regarde pas votre liste, ni votre panier. Il regarde le plat fini servi au client.

• La technique du "Poison" : L'espion a réussi à glisser quelques ingrédients truqués dans le marché public avant que vous ne fassiez votre tri. Ces ingrédients sont spéciaux : ils ne sont choisis par votre système de tri que si vous avez un ingrédient secret précis dans votre poche.
• Le résultat : Si le plat final a un goût bizarre (une saveur spécifique), l'espion sait : "Tiens, ce goût spécial est là. Donc, le chef avait bien l'ingrédient secret X dans son panier !". C'est comme mettre une puce dans un colis pour savoir s'il a été ouvert.

---

🛡️ Comment se protéger ?

Le papier propose une solution : La Différentielle Privée (DP).

Imaginez que vous ajoutez un peu de bruit ou de brouillard dans votre processus de choix.

• Au lieu de dire "Ce public est à 90% similaire à mon secret", vous dites "C'est entre 85% et 95% similaire".
• Cela rend le processus de sélection un peu moins précis, mais cela empêche l'espion de savoir avec certitude quel secret a guidé le choix. C'est comme mettre un voile flou sur votre liste de courses : on voit qu'on a acheté des épices, mais on ne sait pas exactement lesquelles.

🎯 En Résumé

Ce papier nous apprend une leçon importante pour l'avenir de l'IA :

Le simple fait de choisir des données, même sans les utiliser directement, peut trahir les données privées qui ont guidé ce choix.

C'est comme si vous essayiez de garder un secret en ne parlant qu'à voix basse, mais que votre façon de choisir vos mots révélait tout de même le secret. Pour être vraiment sûr, il faut non seulement protéger le modèle final, mais aussi protéger le processus de sélection lui-même.

La morale de l'histoire : Ne pensez pas que "ne pas toucher" aux données sensibles suffit. Il faut aussi protéger la façon dont on les utilise pour faire des choix !

Résumé technique

1. Problématique

La curation de données est devenue une étape cruciale dans les pipelines d'apprentissage automatique (ML) modernes. Elle vise à sélectionner les données les plus précieuses à partir d'un grand ensemble public pour améliorer la précision du modèle et l'efficacité computationnelle, tout en évitant le bruit et la redondance.

Récemment, la curation a été proposée comme une solution pour l'apprentissage privé : au lieu d'entraîner directement sur des données sensibles (qui pourraient fuiter via les prédictions du modèle), ces données privées sont utilisées uniquement pour guider la sélection d'un sous-ensemble de données publiques. Le modèle final est alors entraîné exclusivement sur ce sous-ensemble public curé.

Le paradoxe de sécurité : Il est tentant de supposer que ce modèle est privé car il n'a jamais "vu" les données sensibles directement. Cependant, cet article démontre que cette hypothèse est fausse. Les pipelines de curation eux-mêmes peuvent fuiter des informations sur l'ensemble de données privé (l'ensemble cible) à chaque étape du processus, rendant les données sensibles vulnérables aux attaques d'inférence d'appartenance (Membership Inference Attacks - MIA).

2. Méthodologie et Attaques

Les auteurs conçoivent et évaluent des attaques personnalisées contre trois étapes critiques du pipeline de curation, en utilisant deux méthodes de curation représentatives :

1. Curation basée sur les embeddings d'images (Image-based, ex: DataComp) : Sélectionne les échantillons publics les plus similaires aux cibles privées via la similarité cosinus des embeddings.
2. TRAK (Tracing with the Randomly-projected After Kernel) : Utilise des fonctions d'influence basées sur les gradients pour attribuer un score d'utilité aux échantillons publics par rapport à la cible.

Les attaques ciblent trois surfaces d'attaque (Threat Models) :

A. Attaques sur les Scores de Curation (Scores)

• Adaptation de LiRA (Likelihood Ratio Attack) : Les auteurs remplacent les "shadow models" classiques par des "shadow curation runs". Ils génèrent des sous-ensembles aléatoires de l'ensemble cible pour créer des distributions de scores "in" (membre) et "out" (non-membre).
• Attaque par Vote (Image-based) : Exploite la structure déterministe du mécanisme de plus proche voisin. En analysant les scores, l'attaquant peut identifier exactement quel échantillon cible a déterminé le score d'un échantillon public.
• Résolution par Moindres Carrés (TRAK) : Puisque les scores TRAK sont une combinaison linéaire des contributions des cibles, l'attaquant résout un système d'équations pour retrouver le masque de membership.

B. Attaques sur le Sous-ensemble Sélectionné (Binary Selection)

• Ici, l'attaquant ne voit que le résultat binaire (inclus/exclu) et non les scores continus.
• Binary LiRA : Adaptation de LiRA pour des observations binaires (distributions de Bernoulli).
• Itération de Vote (Image-based) : Un algorithme itératif qui reconstruit l'ensemble cible en comparant le sous-ensemble curé observé avec celui généré par une hypothèse de cible, en ajustant les votes jusqu'à convergence.

C. Attaques End-to-End sur le Modèle Final

C'est l'attaque la plus réaliste et la plus dangereuse, car le modèle final est souvent la seule chose exposée.

• Injection de "Fingerprints" (Empreintes) : L'attaquant injecte un petit nombre d'échantillons "piégés" (fingerprinted samples) dans l'ensemble public avant la curation.
  • Pour Image-based : Modification des légendes (captions) pour créer des échantillons qui ne sont sélectionnés que si une cible spécifique est présente (en exploitant la rareté des voisins les plus proches).
  • Pour TRAK : Ajout d'informations orthogonales bénignes (ex: "et ratatouille") aux légendes correctes pour préserver le score de curation tout en créant un signal détectable dans le modèle final.
• Détection : Si le modèle final montre une probabilité anormalement élevée sur ces concepts "piégés", cela indique que les échantillons fingerprints ont été sélectionnés, révélant ainsi la présence des cibles privées correspondantes.

3. Contributions Clés

1. Première analyse de confidentialité complète des pipelines de curation, démontrant que les fuites d'information se produisent à chaque étape : les scores, les ensembles curés et les modèles finaux.
2. Conception d'attaques personnalisées pour chaque étape, prouvant que les scores de curation et les ensembles sélectionnés fuient des informations d'appartenance sans aucune modification du pipeline.
3. Démonstration d'attaques end-to-end réussies sur les modèles finaux en n'injectant qu'un très petit nombre d'échantillons manipulés (ex: 5 échantillons sur des millions), montrant un risque réel dans les scénarios où les données publiques sont récupérées sur le web.
4. Évaluation empirique sur six jeux de données (CIFAR, STL-10, RESISC45, etc.) et deux méthodes de curation, révélant des vulnérabilités spécifiques.

4. Résultats Expérimentaux

• Curation Image-based : Extrêmement vulnérable. Le mécanisme de plus proche voisin crée des corrélations directes et fortes entre les cibles et les scores. Les attaques atteignent des taux de vrais positifs (TPR) très élevés (jusqu'à ~98% pour certains jeux de données) à un faible taux de faux positifs (FPR).
• TRAK : Plus robuste grâce au mécanisme de moyennage (averaging) des gradients, qui dilue le signal individuel. Cependant, il reste hautement vulnérable pour les petits ensembles de données cibles (typiques des domaines sensibles comme la santé ou la finance). La vulnérabilité diminue à mesure que la taille de l'ensemble cible augmente.
• Attaques End-to-End : Réussissent à extraire des informations sur les données cibles même sans accès aux scores intermédiaires, en exploitant les empreintes laissées dans le modèle final.
• Effet de la taille de l'ensemble cible : Pour TRAK, les petits ensembles (ex: < 1000 échantillons) sont les plus à risque, ce qui est précisément le scénario d'utilisation pour les données sensibles.

5. Défenses et Atténuation

Les auteurs proposent l'adaptation de la Différential Privacy (DP) aux méthodes de curation :

• DP Image-based : Utilisation du mécanisme "Report Noisy Max" (ajout de bruit gaussien aux similarités avant le maximum) ou remplacement par une moyenne DP.
• DP TRAK : Privatisation du calcul du gradient moyen avec clipping et bruit gaussien.
• Résultats : L'ajout de garanties DP (même avec un budget $\epsilon$ modéré comme 10) réduit drastiquement le succès des attaques (TPR chute à des niveaux proches du hasard, ~1-2%).
• Remarque importante : La simple suppression des échantillons les plus vulnérables ne fonctionne pas et peut même augmenter la fuite d'information (effet "oignon de la confidentialité" ou Privacy Onion Effect), car cela expose d'autres échantillons précédemment protégés.

6. Signification et Conclusion

Cet article remet en question l'hypothèse selon laquelle l'utilisation de données privées uniquement pour guider la sélection de données publiques garantit la confidentialité. Il démontre que :

• La curation de données n'est pas intrinsèquement privée.
• Les risques de fuite sont systémiques et touchent chaque étape du pipeline.
• Les méthodes de curation avancées (comme TRAK) offrent une protection partielle mais échouent dans les scénarios critiques (petits ensembles de données sensibles).
• Conclusion : Pour que la curation soit utilisée de manière sûre dans des domaines sensibles, elle doit intégrer des garanties formelles de confidentialité (comme la DP) dès la conception du processus de sélection, et non seulement lors de l'entraînement du modèle.