Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Güvenilmeyen sunucuya karşı savunmak için parametre parçalama ve grup karıştırmayı birleştirmek

· Dizine geri dön

Neden paylaşılan modelleri korumak önemli

Telefonlarımız, hastanelerimiz ve bankalarımız giderek yapay zekâ ile güçlendiriliyor. Çoğu zaman birçok kuruluş ortak bir modeli birlikte eğitmek ister, ancak yasalar ve sağduyu ham verileri tek bir yerde toplamamayı gerektirir. Federated learning (federe öğrenme), bu gerilimi çözmek için icat edildi: her katılımcı kendi cihazında eğitir ve yalnızca model güncellemelerini paylaşır. Ancak bu makale, merkezi sunucu meraklı veya dürüst değilse bu güncellemelerin bile özel bilgileri sızdırabileceğini gösteriyor—ve ardından hem verilerimizi hem kimliklerimizi daha güvende tutmanın yeni bir yolunu tanıtıyor.

Figure 1
Figure 1.

Sunucuya neden güvenilmemeli

Klasik federe öğrenmede merkezi bir sunucu ortak bir modeli gönderir, her istemci kendi verisiyle modeli iyileştirir ve güncellenen modeli geri gönderir. Sunucu bu güncellemeleri ortalayıp daha iyi bir küresel model oluşturur. Ham veriler cihazları terk etmemesine rağmen, önceki araştırmalar gradyanların ve ağırlıkların—model içindeki sayıların—tersine çalıştırılarak görüntüler veya metin gibi özel verilerin yeniden oluşturulabileceğini veya belirli bir kaydın eğitimde kullanılıp kullanılmadığının tahmin edilebileceğini gösterdi. Merkezi sunucu güvenilmezse, her istemcinin güncellemesini ayrı ayrı analiz edebilir, o istemcinin yerel verileri hakkında bilgi edinebilir ve hatta bir güncellemeyi belirli bir kişi veya kuruluşa bağlayabilir.

Güncellemeleri zararsız parçalara bölmek

Yazarlar, Parametre Parçalama Grup Karıştırma (Security Defense based on Parameter Fragmentation Group Shuffling — SDPFGS) adında bir savunma şeması öneriyor. İlk fikir basit ama güçlü: hiçbir zaman tam bir güncelleme gönderme. Bunun yerine, her istemci model güncellemesini birkaç yapay “parçaya” böler. Bu parçaların çoğu rastgele sayılarla doldurulur ve yalnızca son parça, tüm parçaların hâlâ gerçek güncellemeyi toplamda verdiğinden emin olmak için ayarlanır. Tek bir parça veya birkaç parça gürültü gibi görünür ve orijinal veri hakkında neredeyse hiçbir şey ortaya koymaz. Bu matematiksel hile, ancak tüm parçalar birleştirildiğinde bütünün geri elde edilebildiği gizli paylaşım yöntemine benzer.

Gürültü eklemek ve karıştırmak

Birçok parça göndermek hâlâ maliyetli olabilir ve birlikte incelenirse bir saldırganın daha fazla bilgi çıkarmasına izin verebilir. Bunu önlemek için her istemci yalnızca en önemli parça değerlerini—öğrenme için en çok önem taşıyan Top-K girdilerini—seçer ve bunlara farklılaştırılmış gizlilik ilkelerine uygun olarak dikkatle ayarlanmış rastgele gürültü ekler. Bu gürültü, herhangi bir kişinin verisinin belirli bir değeri etkileyip etkilemediğini istatistiksel olarak ayırt etmeyi zorlaştırır. Ardından ikinci ana bileşen gelir: grup karıştırma. Parçaları doğrudan sunucuya göndermek yerine, istemciler parçaları birçok istemciden gelen parçaları gruplar halinde karıştıran güvenilir bir “karıştırıcıya” iletir. Bu karıştırmanın ardından sunucu hangi parçanın hangi istemciden geldiğini artık söyleyemez ve böylece güncellemeler ile kimlikler arasındaki bağ kopar.

Figure 2
Figure 2.

Sızıntıları azaltırken doğruluğu korumak

Ekip, SDPFGS’yi el yazısı rakamlar (MNIST), kıyafet fotoğrafları (Fashion-MNIST), renkli görüntüler (CIFAR-10 ve CIFAR-100) ve ayrıca bir haber sınıflandırma görevi gibi standart görüntü ve metin ölçütlerinde test etti. Yöntemlerini yalnızca gürültü kullanan, yalnızca karıştırma kullanan veya basit gradyan sıkıştırma uygulayan birkaç son teknoloji gizlilik tekniğiyle karşılaştırdılar. Bu deneylerin tamamında SDPFGS, birçok rakip yöntemle karşılaştırıldığında tutarlı biçimde eşit veya daha yüksek doğruluk sağlarken, birçok yönteme göre daha az iletişim ve eğitim süresi kullandı. Özellikle model tersine çevirme saldırıları—bir saldırganın eğitim örneklerini yeniden oluşturmaya çalıştığı durumlarda—SDPFGS en düşük saldırı başarı oranına sahipti; yani temel veriler hakkında en az sızıntıyı verdi.

Günlük kullanıcılar için anlamı

Bir uzman olmayan için çıkarılacak mesaj şudur: “veriyi gizlemek” yeterli değil; cihazlarımız eğitimin sırasında ne gönderdiğini de gizlemeliyiz. SDPFGS bunu, her model güncellemesini kendi başına işe yaramayan ama yine de birleştiğinde yüksek kaliteli bir küresel modele dönüşen gürültülü, karıştırılmış parçalara çevirerek yapar. Sonuç, meraklı veya ele geçirilmiş bir sunucuya karşı daha güçlü bir kalkan olur; doğruluk ve verimlilikte yalnızca küçük bir maliyet vardır. Federe öğrenme sağlık, finans ve akıllı cihazlara yayıldıkça, SDPFGS gibi teknikler insanların güçlü paylaşılan modellerden faydalanmasını sağlarken özel yaşamlarının anahtarlarını teslim etmemelerine yardımcı olabilir.

Atıf: Guo, H., Chen, W., Li, J. et al. Combining parameter fragmentation and group shuffling to defend against the untrustworthy server in federated learning. Sci Rep 16, 5097 (2026). https://doi.org/10.1038/s41598-026-35420-w

Anahtar kelimeler: federated öğrenme, veri gizliliği, farklılaştırılmış gizlilik, model tersine çevirme saldırıları, güvenli toplama