Curation Leaks: Membership Inference Attacks against Data Curation for Machine Learning

Dit paper toont aan dat data-curatietechnieken voor machine learning, die bedoeld zijn om privacy te beschermen door gevoelige data alleen te gebruiken voor selectie, toch kwetsbaar zijn voor lidmaatschapsinference-aanvallen op elke stap van het proces, maar dat deze risico's effectief kunnen worden mitigatie door differentieel private aanpassingen.

De kern

🍳 De Grote Kookprobleem: "Weet je wat er in de koelkast zat?"

Stel je voor dat je een beroemde chef-kok bent. Je wilt het allerlekkerste gerecht maken, maar je hebt een geheim recept in je eigen keuken (je privé-gevens) dat je absoluut niet wilt delen met de wereld.

In plaats van dat recept direct te gebruiken, doe je het volgende:

1. Je kijkt naar je eigen geheim recept.
2. Je loopt naar een enorme, openbare supermarkt (de publieke dataset) met miljoenen ingrediënten.
3. Je kiest alleen die ingrediënten uit de supermarkt die het beste bij jouw geheim recept passen.
4. Je maakt je gerecht alleen met die geselecteerde ingrediënten.

De logica is: "Niemand ziet mijn geheim recept, dus niemand kan erachter komen wat ik heb gekookt."

Het probleem: Dit onderzoek laat zien dat deze logica fout is. Zelfs als je geheim recept nooit in de pan komt, kun je er toch achter komen wat erin zat, puur door te kijken naar welke ingrediënten je uit de supermarkt hebt gekozen en hoe je gerecht smaakt.

---

🔍 De Drie Manieren waarop de Chef "Verraadt"

De onderzoekers hebben drie manieren gevonden waarop een "spion" (de hacker) kan achterhalen welke ingrediënten in jouw geheim recept zaten, zelfs als hij alleen de geselecteerde producten en het eindgerecht ziet.

1. De "Waardebewerking" (De Curation Scores)

Stel dat je voor elk ingrediënt in de supermarkt een cijfer geeft: "Hoe goed past dit bij mijn geheim recept?"

• De Lek: Als je kijkt naar de lijst met cijfers, kan een slimme spion zien: "Oh, dit ingrediënt kreeg een perfect 10. Dat betekent dat het bijna identiek is aan iets in het geheim recept."
• De Analogie: Het is alsof je een lijst maakt van de "beste vrienden" van een geheim persoon. Als iemand zegt: "Deze persoon is mijn beste vriend", dan weet je direct wie die persoon is, zelfs als je de persoon zelf nooit hebt gezien.

2. De "Boodschappenlijst" (De Geselecteerde Subset)

Stel dat je niet de cijfers laat zien, maar alleen de boodschappenlijst van wat je daadwerkelijk hebt gekocht.

• De Lek: De spion kan proberen te raden wat er in het geheim zat door te kijken naar wat niet op de lijst staat. Als een bepaald ingrediënt (bijvoorbeeld een zeldzame kruid) niet op de lijst staat, maar wel heel goed zou passen, dan weet de spion: "Die kruid zat vast niet in het geheim recept, anders had de chef hem gekocht."
• De Analogie: Het is als een raadsel: "Als ik een lijst heb met alleen rode ballen, en ik zie dat er geen blauwe ballen op staan, weet ik dat de verzameling waar ik naar zoek geen blauwe ballen bevat."

3. De "Gevloekte Recept" (Het Eindmodel)

Dit is de slimste en gevaarlijkste methode. De spion plant een paar "verkeerde" ingrediënten in de supermarkt voordat jij gaat winkelen.

• De Lek: De spion plaatst bijvoorbeeld een doosje met "Ratatouille" (een gerecht dat je normaal niet koopt) in de supermarkt, maar met een label dat eruitziet als een kip.
  • Als jouw geheim recept wel kip bevat, zal jouw selectie-algoritme die "kip" (die eigenlijk ratatouille is) misschien wel kopen omdat het past.
  • Als jouw geheim recept geen kip bevat, wordt die "kip" genegeerd.
• Het Resultaat: Als de spion later proeft aan je eindgerecht en de smaak van "Ratatouille" ruikt, weet hij: "Aha! De chef had kip in zijn geheim recept, anders had hij die 'kip' niet gekocht."
• De Analogie: Het is alsof je een valstrik legt met een specifieke geur. Als de hond (het algoritme) op de geur afkomt, weet je dat de hond die geur kent.

---

🛡️ Waarom is dit belangrijk?

Vroeger dachten mensen: "Als we alleen publieke data gebruiken om een model te trainen, is het veilig."
Dit papier zegt: "Nee, dat is niet waar."

Het proces van het kiezen van de data (de curatie) is net zo kwetsbaar als het trainen zelf.

• Kleine groepen zijn het meest kwetsbaar: Als je een geheim recept hebt met slechts 10 ingrediënten (bijvoorbeeld een zeldzame medische ziekte), is het heel makkelijk voor een spion om te raden wat die 10 ingrediënten zijn.
• Grote groepen zijn iets veiliger: Als je 10.000 ingrediënten hebt, is het moeilijker, maar niet onmogelijk.

🛠️ Hoe lossen we dit op? (De "Rookgordijnen")

De onderzoekers laten zien dat je dit kunt oplossen met Differentiële Privacy (DP).
Stel je voor dat je bij het geven van de cijfers aan de ingrediënten een beetje "ruis" of "mist" toevoegt.

• In plaats van te zeggen: "Dit ingrediënt is een 10,00", zeg je: "Dit is een 10,00... of misschien 9,8... of 10,2... ik weet het niet precies."
• Door deze willekeurige ruis toe te voegen, wordt het voor de spion onmogelijk om te weten of een specifiek ingrediënt echt in het geheim recept zat of niet.

💡 De Kernboodschap

Data curatie (het slim selecteren van data) is een krachtige tool, maar het is geen magische privacy-schild.

• Zonder extra bescherming (zoals Differentiële Privacy) lekken er steeds meer geheimen uit, van de selectielijst tot het eindresultaat.
• Als je gevoelige data gebruikt om te bepalen welke publieke data je kiest, moet je zorgen dat het kiezen zelf ook veilig is. Anders is je geheim recept toch niet meer geheim.

Technische samenvatting

Probleemstelling

In het machine learning (ML) landschap wordt data curatie steeds belangrijker om de meest waardevolle data te selecteren voor het trainen van modellen, waardoor zowel nauwkeurigheid als rekenkracht worden geoptimaliseerd. Een specifieke toepassing hiervan is privacy-bewust machine learning: in plaats van een model direct te trainen op gevoelige (privé) data, wordt deze privédata alleen gebruikt om een subset van openbare data te selecteren. Het uiteindelijke model wordt vervolgens uitsluitend getraind op deze gecureerde openbare data.

De onderliggende aanname is dat dit proces privacy-bewarend is, omdat het model de gevoelige data nooit direct heeft "gezien". Dit paper weerlegt deze aanname. De auteurs tonen aan dat curatie-pijplijnen inherent kwetsbaar zijn voor lidmaatschapsinference-aanvallen (Membership Inference Attacks, MIA). Zelfs als het model alleen op openbare data is getraind, kan een aanvaller informatie afleiden over welke specifieke samples uit de privé-dataset (de "target set") hebben bijgedragen aan de selectie van de openbare data.

Methodologie en Aanvalsstrategieën

De auteurs analyseren drie kritieke fasen in een curatie-pijplijn en ontwerpen specifieke aanvallen voor elke fase. Ze richten zich op twee veelvoorkomende curatiemethoden:

1. Image-based curation: Gebaseerd op cosine-similariteit tussen embeddings (bijv. CLIP).
2. TRAK (Tracing with the Randomly-projected After Kernel): Gebaseerd op gradient attribution en invloedsscores.

De aanvalsscenarios zijn als volgt:

1. Aanval op Curation Scores (De Scores)

• Doel: Bepalen of een specifieke privé-sample heeft bijgedragen aan de berekende scores van de openbare data.
• Methoden:
  • LiRA (Likelihood Ratio Attack): De auteurs passen LiRA aan door "shadow curation sets" te gebruiken in plaats van shadow modellen. Ze cureren willekeurige subsets van de target data om verdelingen van scores te modelleren voor "lid" vs. "niet-lid".
  • Custom Voting (Image-based): Omdat Image-based curation deterministisch is (elke openbare sample krijgt een score gebaseerd op zijn naaste buur in de target set), kunnen aanvallen de naaste-buur-relatie omkeren. Als een score overeenkomt met een specifieke target, wordt die target een "stem" gegeven.
  • Least Squares (TRAK): Omdat TRAK-scores een lineaire combinatie zijn van bijdragen van individuele targets, kunnen aanvallen een lineair stelsel oplossen om de lidmaatschapsmasker te reconstrueren.

2. Aanval op Gecureerde Subsets (De Selectie)

• Doel: Bepalen of een openbare sample is geselecteerd voor de trainingsset, puur op basis van de binaire selectie (ja/nee), zonder toegang tot de onderliggende scores.
• Methoden:
  • Binary LiRA: Adaptatie van LiRA voor binaire uitkomsten (Bernoulli-verdeling) in plaats van continue scores.
  • Iterative Voting Scheme (Image-based): Een iteratief proces waarbij de aanvaller een hypothese over de target set opbouwt, deze gebruikt om een curatie te simuleren, en de resultaten vergelijkt met de waargenomen geselecteerde subset. Afwijkingen worden gebruikt om de hypothese te verfijnen.

3. End-to-End Aanval op het Getrainde Model

• Doel: Informatie over de privé-data afleiden uit het uiteindelijke model, dat alleen op openbare data is getraind.
• Methoden:
  • Fingerprinting: De aanvaller injecteert een klein aantal "vingerafdruk"-samples (gepoisonde data) in de openbare pool. Deze samples zijn zo ontworpen dat ze alleen worden geselecteerd tijdens de curatie als een specifieke privé-target aanwezig is.
  • Detectie: Als het model wordt getraind op de gecureerde data, leert het deze vingerafdrukken (bijv. door specifieke tekstlabels of semantisch orthogonale toevoegingen). De aanwezigheid van dit gedrag in het model is een bewijs dat de bijbehorende privé-target deel uitmaakte van de curatie.

Belangrijkste Resultaten

De experimenten zijn uitgevoerd op zes datasets (o.a. CIFAR-10, PCAM, RESISC45) met CommonPool als openbare dataset.

1. Kwetsbaarheid van Scores:

   • Image-based curation is extreem kwetsbaar. De deterministische aard van de "nearest-neighbor" selectie maakt het mogelijk om bijna perfect te reconstrueren welke targets invloed hadden op de scores.
   • TRAK biedt meer natuurlijke bescherming door het middelen van gradienten, maar is nog steeds kwetsbaar voor kleine target datasets (typisch voor gevoelige domeinen zoals medische beeldvorming).

2. Kwetsbaarheid van Subsets:

   • Zelfs zonder scores, alleen door te kijken naar welke samples zijn geselecteerd, kunnen aanvallen lidmaatschap afleiden. De iteratieve aanval herstelt de privé-set effectief voor samples met een niet-nul invloed.

3. End-to-End Leaks:

   • De aanval met vingerafdrukken slaagt zelfs wanneer het model nooit direct op de privé-data is getraind.
   • Image-based: Toont consistente lekkage over alle datasetgroottes.
   • TRAK: Toont sterk afhankelijkheid van de datasetgrootte. Voor kleine datasets (bijv. |T| < 1000) is de lekkage significant, maar neemt af naarmate de dataset groter wordt door het middelingseffect.

4. Defensie (Differential Privacy):

   • Het toepassen van Differential Privacy (DP) op de curatiestap (bijv. door ruis toe te voegen aan de scores of het gemiddelde van de gradients) mitigeert de lekkage effectief.
   • Bij een privacy-begroting van $\epsilon = 10$ daalt het succes van de aanvallen naar bijna willekeurig niveau (TPR < 2% bij 1% FPR).

Bijdragen

1. Eerste systematische privacy-analyse: Dit paper is de eerste die laat zien dat data curatie-pijplijnen op zich privacy-risico's inhouden, ongeacht of het eindmodel op privé-data is getraind.
2. Nieuwe Aanvalsvektoren: Het introduceert specifieke MIA-methoden voor scores, selectiemaskers en eindmodellen, inclusief de "fingerprinting" techniek voor end-to-end aanvallen.
3. Empirische Validatie: Het toont aan dat bestaande methoden (Image-based en TRAK) kwetsbaar zijn, waarbij TRAK beter presteert bij grote datasets maar faalt bij de kleine, gevoelige datasets waar curatie vaak voor wordt gebruikt.
4. Defensieve Richting: Het demonstreert dat Differentiële Privacy een effectieve oplossing is, maar benadrukt dat de afweging tussen privacy en bruikbaarheid (utility) verder onderzocht moet worden.

Betekenis en Conclusie

De bevindingen van dit paper hebben grote gevolgen voor de praktijk van "Private Machine Learning". Het weerlegt het idee dat het gebruik van privé-data alleen voor data-selectie veilig is. De auteurs concluderen dat privacy-beoordelingen van ML-systemen niet mogen stoppen bij het trainingsproces, maar ook de data-selectie- en curatieprocessen moeten omvatten.

Voor organisaties die gevoelige data gebruiken om openbare datasets te filteren (bijv. in finance of healthcare), betekent dit dat ze nu kwetsbaar zijn voor lekken via de geselecteerde dataset of het eindmodel, zelfs als ze denken dat ze de data hebben "gecurateerd" om privacy te waarborgen. De paper pleit voor het ontwerp van curatiemethoden met ingebouwde privacy-beschermingen, zoals Differentiële Privacy, om deze inherente risico's te mitigeren.