Yapay zeka sistemlerinde gizlilik koruması alanında yaygın olarak kullanılan Differentially Private Stochastic Gradient Descent (DP-SGD) yönteminin, düşünülenden çok daha sınırlı olduğu yeni bir araştırmayla ortaya çıktı.
DP-SGD, makine öğrenmesi modellerini eğitirken bireysel verilerin gizliliğini korumak için kullanılan baskın paradigmadır. Ancak araştırmacılar, bu yöntemin en kötü durum senaryolarında saldırganlara karşı temel sınırlarının yeterince anlaşılmadığını tespit etti.
Çalışma, f-diferansiyel gizlilik çerçevesinde detaylı bir analiz yaparak, gizliliği hipotez-test değiş-tokuş eğrileri ile karakterize etti. Tek bir dönem boyunca karıştırılmış örnekleme ve M gradyan güncellemesi üzerinden yapılan incelemede, ulaşılabilir değiş-tokuş eğrisi için açık bir üst sınır türetildi.
Araştırmanın en kritik bulgusu, mekanizmanın değiş-tokuş eğrisi ile ideal rastgele tahmin çizgisi arasındaki maksimum mesafeyi temsil eden 'κ' (kappa) ayrımı üzerine. Büyük bir ayrım, saldırganın önemli bir avantaja sahip olduğu anlamına geldiği için, anlamlı gizlilik koruması küçük κ değerleri gerektirir.
Ancak araştırmacılar, küçük bir ayrımın korunmasının Gauss gürültü çarpanı σ (sigma) üzerinde katı bir alt sınır getirdiğini matematiksel olarak kanıtladılar. Bu durum, algoritmanın ulaşabileceği performansı doğrudan sınırlandırıyor ve gizlilik-fayda dengesinin düşünülenden çok daha kısıtlı olduğunu gösteriyor.