宋明成

機(jī)器學(xué)習(xí)需要使用大量數(shù)據(jù)來對(duì)模型進(jìn)行訓(xùn)練，而一般都會(huì)將這些訓(xùn)練數(shù)據(jù)上傳到亞馬遜和Google等運(yùn)營(yíng)商所托管的機(jī)器學(xué)習(xí)云服務(wù)上，但這樣將可能把數(shù)據(jù)暴露給惡意攻擊者。那是否能夠把機(jī)器學(xué)習(xí)當(dāng)作一種服務(wù)（機(jī)器學(xué)習(xí)即服務(wù)）來使用并保護(hù)我們的隱私呢？

機(jī)器學(xué)習(xí)可以算得上是當(dāng)今計(jì)算機(jī)科學(xué)領(lǐng)域中最熱門的學(xué)科之一，且很多云服務(wù)提供商也開始迅速擴(kuò)展他們的機(jī)器學(xué)習(xí)服務(wù)（MLaaS）。

但是這些MLaaS都附帶了一條警告信息：所有的模型訓(xùn)練數(shù)據(jù)都將暴露給服務(wù)操作人員。即使服務(wù)操作人員不會(huì)專門訪問這些數(shù)據(jù)，某些帶有其他動(dòng)機(jī)的人也有可能訪問到這些數(shù)據(jù)。

隱私是雙向的

雖然用戶可能并不希望透露他們的模型訓(xùn)練數(shù)據(jù)，但服務(wù)提供商那邊也有自己需要考慮的隱私問題。一般的情況下，他們并不會(huì)允許用戶去查看MLaaS技術(shù)的底層實(shí)現(xiàn)算法。

而Chiron這種系統(tǒng)模型可以防止服務(wù)操作人員查看訓(xùn)練數(shù)據(jù)，無論現(xiàn)有的機(jī)器學(xué)習(xí)即服務(wù)平臺(tái)是以怎樣的模式運(yùn)行的，Chiron都不會(huì)將訓(xùn)練算法和模型架構(gòu)暴露給用戶，并且只會(huì)給用戶提供一種黑盒訪問模式來訪問訓(xùn)練模型。

Chiron使用的是因特爾的軟件保護(hù)擴(kuò)展（SGX），這是一種用來增強(qiáng)應(yīng)用程序代碼安全性的架構(gòu)設(shè)計(jì)，但僅僅使用SGX還是不夠的，Chiron還在Ryoan沙盒中使用了SGX平臺(tái)，這是一種分布式的安全保護(hù)沙盒，它可以防止不受信任的用戶代碼在惡意架構(gòu)中運(yùn)行。

威脅模型

Chiron的目標(biāo)是保護(hù)云環(huán)境中用戶的訓(xùn)練數(shù)據(jù)和訓(xùn)練模型（包括查詢和輸出數(shù)據(jù)），因此，假設(shè)整個(gè)平臺(tái)都是不受信任的，包括其中的操作系統(tǒng)和相應(yīng)的管理程序。攻擊者可以是設(shè)備的管理員或者服務(wù)操作人員，也可以是已經(jīng)成功入侵服務(wù)平臺(tái)的惡意攻擊者。當(dāng)然了，攻擊者還可以是惡意OS開發(fā)人員，因?yàn)樗麄兛梢灾苯佑涗浵掠脩舻妮斎牖蛘咻敵鲂畔ⅰ?/p>

由于訓(xùn)練模型會(huì)通過特定的查詢語句泄露訓(xùn)練數(shù)據(jù)，Chiron可以確保只有提供訓(xùn)練數(shù)據(jù)的用戶才能訪問訓(xùn)練完成后的模型。即使攻擊者能夠獲取到云基礎(chǔ)設(shè)施的完整訪問權(quán)，也無法查詢到模型并訪問訓(xùn)練數(shù)據(jù)。雖然現(xiàn)在從表面上看Chiron似乎已經(jīng)覆蓋的足夠全面了，但MLaaS的底層硬件還是存在一些安全問題的。

限制因素

SGX本身并不是無懈可擊的，因?yàn)橛⑻貭柕男阅鼙O(jiān)控單元（PMU）允許不受信任的平臺(tái)深入了解目標(biāo)系統(tǒng)底層的運(yùn)行機(jī)制以及正在進(jìn)行的任務(wù)。當(dāng)前的SGX允許擁有高級(jí)權(quán)限的軟件修改內(nèi)存頁表，并查看相關(guān)代碼以及頁數(shù)據(jù)蹤跡，而這將導(dǎo)致非常嚴(yán)重的后果。

由于Chiron的實(shí)現(xiàn)是基于英特爾的SGX，所以它不能使用GPU配合工作，因?yàn)镚PU暫時(shí)還不能很好地支持SGX的相關(guān)功能。因此，目前的Chiron還不夠完美，可能只有GPU供應(yīng)商開始認(rèn)真考慮安全問題時(shí)我們才能更進(jìn)一步。

性能

除了限制因素之外，Chiron還可以在保護(hù)標(biāo)準(zhǔn)機(jī)器學(xué)習(xí)基礎(chǔ)設(shè)施的情況下維持設(shè)備的正常性能。

在現(xiàn)代這個(gè)海量數(shù)據(jù)的世界里，存在著千千萬萬個(gè)安全漏洞，而攻擊者可以用各種各樣的方法來利用這些漏洞。沒有任何一個(gè)系統(tǒng)是絕對(duì)安全的，但我們可以通過努力來盡量做得更好。毫無疑問，機(jī)器學(xué)習(xí)絕對(duì)會(huì)在我們將來的生活中扮演重要角色，如果機(jī)器學(xué)習(xí)能保護(hù)好我們的隱私，那得多安逸。