機器學(xué)習(xí)需要使用大量數(shù)據(jù)來對模型進行訓(xùn)練，而我們一般都會將這些訓(xùn)練數(shù)據(jù)上傳到亞馬遜和Google等運營商所托管的機器學(xué)習(xí)云服務(wù)上，但這樣將有可能把數(shù)據(jù)暴露給惡意攻擊者。那我們是否能夠把機器學(xué)習(xí)當(dāng)作一種服務(wù)（機器學(xué)習(xí)即服務(wù)-MLaaS）來使用并保護我們的隱私呢？

[[225773]]

機器學(xué)習(xí)可以算得上是當(dāng)今計算機科學(xué)領(lǐng)域中最熱門的學(xué)科之一了，而且很多云服務(wù)提供商也開始迅速擴展他們的機器學(xué)習(xí)服務(wù)（MLaaS）。

但是這些MLaaS都附帶了一條警告信息：所有的模型訓(xùn)練數(shù)據(jù)都將暴露給服務(wù)操作人員。即使服務(wù)操作人員不會專門訪問這些數(shù)據(jù)，某些帶有其他動機的人也有可能訪問到這些數(shù)據(jù)。

注：德克薩斯大學(xué)的Tyler Hunt以及其他研究人員近期發(fā)布了一篇標(biāo)題為《Chiron：機器學(xué)習(xí)即服務(wù)與隱私保護》的研究論文，并在論文中闡述了一種能夠在使用云MLaaS時保護隱私的系統(tǒng)架構(gòu)，感興趣的同學(xué)可以閱讀了解一下。

隱私是雙向的

雖然用戶可能并不希望透露他們的模型訓(xùn)練數(shù)據(jù)，但服務(wù)提供商那邊也有他們自己需要考慮的隱私問題。一般來說，他們并不會允許用戶去查看他們MLaaS技術(shù)的底層實現(xiàn)算法。

而Chiron這種系統(tǒng)模型可以防止服務(wù)操作人員查看訓(xùn)練數(shù)據(jù)，無論現(xiàn)有的機器學(xué)習(xí)即服務(wù)平臺是以怎樣的模式運行的，Chiron都不會將訓(xùn)練算法和模型架構(gòu)暴露給用戶，并且只會給用戶提供一種黑盒訪問模式來訪問訓(xùn)練模型。

Chiron使用的是因特爾的軟件保護擴展（SGX），這是一種用來增強應(yīng)用程序代碼安全性的架構(gòu)設(shè)計，但僅僅使用SGX還是不夠的，Chiron還在Ryoan沙盒中使用了SGX平臺，而這是一種分布式的安全保護沙盒，它可以防止不受信任的用戶代碼在惡意架構(gòu)中運行。

威脅模型

Chiron的目標(biāo)是保護云環(huán)境中用戶的訓(xùn)練數(shù)據(jù)和訓(xùn)練模型（包括查詢和輸出數(shù)據(jù)），因此，我們首先假設(shè)整個平臺都是不受信任的，包括其中的操作系統(tǒng)和相應(yīng)的管理程序。攻擊者可以是設(shè)備的管理員或者服務(wù)操作人員，也可以是已經(jīng)成功入侵服務(wù)平臺的惡意攻擊者。當(dāng)然了，攻擊者還可以是惡意OS開發(fā)人員，因為他們可以直接記錄下用戶的輸入/輸出信息。

由于訓(xùn)練模型會通過特定的查詢語句泄露訓(xùn)練數(shù)據(jù)，Chiron可以確保只有提供訓(xùn)練數(shù)據(jù)的用戶才能訪問訓(xùn)練完成后的模型。即使攻擊者能夠獲取到云基礎(chǔ)設(shè)施的完整訪問權(quán)，他們也無法查詢到模型并訪問訓(xùn)練數(shù)據(jù)。

雖然現(xiàn)在從表面上看Chiron似乎已經(jīng)覆蓋的足夠全面了，但MLaaS的底層硬件還是存在一些安全問題的。

限制因素

SGX本身并不是無懈可擊的，因為英特爾的性能監(jiān)控單元（PMU）允許不受信任的平臺深入了解目標(biāo)系統(tǒng)底層的運行機制以及正在進行的任務(wù)。當(dāng)前的SGX允許擁有高級權(quán)限的軟件修改內(nèi)存頁表，并查看相關(guān)代碼以及頁數(shù)據(jù)蹤跡，而這將導(dǎo)致非常嚴重的后果。

由于Chiron的實現(xiàn)基于的是英特爾的SGX，所以它不能使用GPU配合工作，因為GPU暫時還不能很好地支持SGX的相關(guān)功能。因此，目前的Chiron實現(xiàn)得還不夠完美，可能只有GPU供應(yīng)商開始認真考慮安全問題時我們才能夠更進一步。

性能

除了限制因素之外，Hunt等人還對Chiron的性能進行了測試，并且證明了Chiron可以在保護標(biāo)準機器學(xué)習(xí)基礎(chǔ)設(shè)施的情況下維持設(shè)備的正常性能。

總結(jié)

在我們這個現(xiàn)代化的海量數(shù)據(jù)世界里，存在著千千萬萬個安全漏洞，而攻擊者可以用各種各樣的方法來利用這些漏洞。沒有任何一個系統(tǒng)是絕對安全的，但我們可以通過努力來盡量做得更好。毫無疑問，機器學(xué)習(xí)絕對會在我們將來的生活中扮演重要角色，如果機器學(xué)習(xí)能夠保護好我們的隱私，那得多安逸？