כשהמודלים החזקים ביותר יושבים בענן, גם שאלה “תמימה” לבינה מלאכותית עלולה לחשוף מידע שלא רצינו לשתף. בפוסט נציג פתרון אבטחה לחישוב מבוזר באמצעות פולסי אור, כך שניסיון לחלץ מידע מעבר למותר משאיר חתימה פיזיקלית בשל עיקרון קוונטי בסיסי שנפרט עליו בהמשך, עקרון אי־השכפול [1]. היתרון הפרקטי הוא שהשיטה נשענת על רכיבי תקשורת אופטית סטנדרטיים, יתרון שהופך את השיטה לרלוונטית כעת ליישומים שבהם פרטיות היא תנאי סף, כמו רפואה ושירותים ארגוניים רגישים.
פרסומת
האם יצא לכם לשאול בינה מלאכותית כמו GPT ,Claude או Gemini שאלה פרטית, משהו שלא הייתם רוצים לחשוף? כיום צד השרת מבטיח לא לנצל לרעה את המידע שלכם, אבל היינו רוצים לקבל הבטחה מתמטית שהמידע מוגן. אתם לא לבד בבעיה הזאת. גם בתי חולים היו רוצים להשתמש במודלים מתקדמים לאבחון רפואי, כמו שמציעה למשל Aidoc הישראלית [2], אך הרגולציה מגבילה את ההוצאה של מידע פרטי לענן [3].
הפער הזה נובע מהדרך שבה רוב הבינה המלאכותית עובדת בפועל. המודלים הכי טובים הם גם כבדים מבחינה חישובית. לכן מריצים אותם על שרתים חזקים בענן. כדי לקבל תשובה, הלקוח שולח לשרת קלט. לעיתים זה קלט רגיש.
בתרחיש כזה יש שני סודות. בצד אחד עומד הלקוח: אדם פרטי או בית חולים, שרוצה לקבל תשובה בלי לחשוף את הנתונים. בצד השני עומד השרת שמחזיק את המודל. הוא רוצה להגן על “המתכון” שלו – המספרים הפנימיים שנקראים משקולות [4]. המשקולות הן מה שהמודל “למד” אחרי אימונים ממושכים, והן יקרות ערך.
ברמה המתמטית מדובר בווריאציה של בעיה מוכרת: חישוב בטוח רב־משתתפים. רוצים לחשב פונקציה של כמה קלטים פרטיים, אבל לחשוף רק את הפלט. כאן הפונקציה היא “הרצת מודל על קלט”, והקלטים הפרטיים הם גם הנתונים של הלקוח וגם הפרמטרים של השרת.
יש פתרונות בתחום ההצפנה שמאפשרים חישוב על נתונים מוצפנים, אבל לרוב המחיר החישובי שלהם גדול ולכן הם אינם בשלים עדיין לשימוש פרקטי. לעיתים הם גם נשענים על הנחה שמישהו לא יוכל לשבור בעיה מתמטית קשה בזמן סביר [6]. במאמר שלנו רצינו משהו חזק יותר: אבטחה שמבוססת על חוקי הפיזיקה.
הכלי שלנו הוא אור [7] – לא כאנלוגיה, אלא ככלי לחישוב. אנחנו מקודדים מספרים בתוך פולסים חלשים של לייזר שעוברים בסיבים אופטיים, בדיוק התשתית שעליה האינטרנט כבר נשען. את הקידוד עושים בעזרת שתי תכונות של גל אור: עוצמה ופאזה. פאזה היא “המיקום” של הגל בתוך המחזור שלו. כך האור נושא את המידע.
במדעי המחשב נוח להתייחס למידע כאל דבר מופשט. במציאות, מידע תמיד ״שמור״ במצב פיזיקלי של מערכת: רמת מתח בטרנזיסטור, או במקרה שלנו עוצמה ופאזה של אור. בעולם הקוונטי אי אפשר להעתיק מצב לא ידוע בצורה מושלמת. זהו עקרון אי־השכפול [1] (no-cloning). המשמעות היא שניסיון לחלץ מידע באמצעות מדידות משנה את האות, ולכן מוסיף רעש. במערכות אלקטרוניות רגילות האפקטים הקוונטיים הללו זניחים ביחס לרעשים אחרים במערכת, ולכן קשה לרתום אותם לטובת אבטחה. באור חלש, לעומת זאת, הרעש הקוונטי הוא חלק משמעותי מהסיפור ואפשר להשתמש בו כדי לזהות ניסיון “למדוד יותר מדי”.
החידוש שלנו הוא “מנוע אלגברה לינארית קוהרנטי”. הוא מיועד לפעולה הנפוצה ביותר במערכות בינה מלאכותית: חיבור משוקלל של מספרים. במודל שלנו, הלקוח אינו שולח את המידע שלו לשרת, אלא להפך – השרת שולח את המשקולות שלו ללקוח, אשר צריך לבצע את החישוב בלי לגלות מידע על המשקולות, ואז להוכיח זאת לשרת. השרת משדר את המשקולות ללקוח כשהן מקודדות בפולסי אור חלשים הנקראים "מצבים קוהרנטיים" [7]. הלקוח, בלי למדוד את הערך של המשקולות, מעביר אותם דרך רכיבים אופטיים שמערבבים את המשקולות הללו עם הקלט הרצוי, באופן שמרכז את תוצאת החישוב ב"פולס" (או "תדר") בודד. את התדר הבודד הזה הלקוח מבודד ומודד, וכך מקבל את תוצאת החישוב. את יתר התדרים הוא מחזיר לשרת, כהוכחה לכך שהוא לא "נגע" במשקולות מעבר לנדרש. החישוב בצד הלקוח מתאפשר בזכות שינוי הפרדיגמה מחישוב דיגיטלי לחישוב מבוסס אור. חישוב אופטי כזה יכול לאפשר חישוב מהיר יותר בעלות אנרגטית נמוכה, ולשמש תחנת ביניים פרקטית בדרך לחישוב קוונטי. החידוש בעבודה הנוכחית הוא היבט אבטחת המידע.
האבטחה כאן דו־צדדית. הלקוח אינו מודד את כל האור שקיבל, אלא רק את מה שהכרחי לחישוב, בעוד ששארית האור מוחזרת לשרת לבדיקות אבטחה. אם במהלך הדרך בוצעו מדידות מיותרות כדי ללמוד את המשקולות, זה מתבטא ברמת רעש גבוהה יותר באור שחזר לשרת. השרת יכול למדוד את הרעש הזה, ולכן לקבל חסם מתמטי על כמות המידע שיכולה הייתה לדלוף.
את הרעיון בדקנו על משימת MNIST: סיווג תמונות של ספרות בכתב־יד [5]. זו משימה פשוטה יחסית, אבל היא מאפשרת למדוד בצורה נקייה את המחיר של דיוק החישוב מול האבטחה. מצאנו שאפשר להגיע לדיוק גבוה מ־95% ובמקביל, לקבל חסם כמותי נמוך מאוד על דליפת המידע: פחות מעשירית ביט בממוצע על כל משקולת ועל כל רכיב בקלט.
יתרון נוסף הוא הנגישות ההנדסית. הפרוטוקול שלנו נשען על רכיבים מוכרים מתקשורת אופטית: לייזרים, סיבים, מגברים וגלאים, למשל מדידת הומודיין, שהיא טכניקה סטנדרטית בתקשורת אופטית. זה לא דורש מחשב קוונטי או שינוי בתשתיות, אלא שימוש חכם במה שכבר נמצא בארונות התקשורת.
מנגנון האבטחה מבוסס על העובדה שמדידות נוספות משאירות חתימה שאפשר למדוד ולכמת. מנגנון כזה נותן בעיקר התרעה בדיעבד על ניסיון לרמות, אבל היינו רוצים להבטיח מראש ששום צד לא יוכל לחלץ מידע מעבר למה שמותר לו. כדי להתקרב למטרה הזו, במאמר אנחנו מציעים קידוד שמשלב אקראיות מכוונת שמסתירה את הסוד, וגם שיטות שמגבילות את ההצטברות של דליפת מידע כשמשתמשים במודל שוב ושוב.
הצעד הבא הוא להרחיב את השיטה לתסריטים מרובי־משתתפים כמו למידה פדרטיבית, שבה כמה ארגונים מאמנים יחד מודל בלי לשתף נתונים גולמיים, ולבנות אב טיפוס במעבדה. כך כלים מהפיזיקה הקוונטית מתחברים ישירות לבעיה הקריפטוגרפית הקלאסית: לחשב ביחד, בלי לוותר על פרטיות.
—
המחקר המתואר בכתבה נערך על ידי כפיר סולימני, יחד עם סרי קרישנה ודלאמאני, ריאן האמרלי, פרהלד איינגר ודירק אנגלונד, ובמרכזו עמדה השאלה כיצד אפשר לשלב פוטוניקה קוונטית עם למידה עמוקה כדי לאפשר חישוב ענן מאובטח לשני הצדדים. המאמר המקורי שהכתבה מבוססת עליו נמצא ב־[9].
עריכה: שיר רוזנבלום-מן
מקורות לקריאה נוספת
[1] עקרון אי-השכפול באתר IBM על מחשוב קוונטי
[2] אתר AIDOC
[3] מדיניות הרגולוציה בתחום ה-AI בישראל
[4] קיצור תולדות הבינה המלאכותית - מכון דוידסון
[5] MNIST on wiki
[6] שיטת ההצפנה RSA
[8] מצבים קוהרנטיים
[9] המאמר המקורי שהכתבה מבוססת עליו, וסיקור העבודה באתר החדשות של MIT
פוסט־דוקטורט ב־MIT, ובקרוב חבר סגל בפקולטה להנדסת חשמל ומחשבים ע״ש ויטרבי בטכניון
חברת סגל בפקולטה להנדסת חשמל באוניברסיטת תל אביב
