Így törhetők fel a titkosított embeddingek – veszélyben a nyelvi modellek!
A modern nyelvi modellek – például a chatbotok és keresőrendszerek mögött álló alkalmazások – gyakran úgynevezett „embeddinglek” segítségével értelmezik a szöveget. Ezek az embeddinglek rövid, számsorozatok, amelyekbe a modell „besűríti” a mondatok vagy szavak jelentését. Képzeld el úgy, mint egy GPS-koordinátát: két hasonló tartalmú szöveg közel kerül egymáshoz a térben, míg a különbözők távolabb vannak egymástól.
Azonban minden modell a saját belső térképét rajzolja fel – vagyis két különböző modellnél ugyanannak a mondatnak az embeddingjei egészen máshol helyezkednek el. Ez eddig azt jelentette, hogy ha egy rendszer egy ismeretlen modell embeddingjeivel dolgozott, nem tudta összehasonlítani vagy értelmezni őket a saját térképén.
A kutatók most egy új, „vec2vec” nevű módszert mutattak be, amely képes két modell embeddingjei között pár nélkül, automatikusan megtalálni az átalakítást. Lényegében tanítanak egy rendszert arra, hogy az ismeretlen embeddingeket egy közös, univerzális belső térbe vigye át, majd onnan visszaalakítsa a másik modell tengelyrendszerébe. Így anélkül lesz összehasonlítható a két tér, hogy ténylegesen látták volna a szövegeket vagy párosított példákat kaptak volna hozzájuk.
Ez a felfedezés nem csupán elméleti játék: komoly biztonsági kérdéseket vet fel. Ha valaki hozzáfér egy titkosított embedding-adatbázishoz, most már le tudja fordítani az adatokat egy ismert modell nyelvére, majd abból visszanyerni a szöveg tartalmát vagy érzékeny jellemzőket – például személyes adatokat vagy titkos vállalati információkat. Ez azt mutatja, hogy az embeddingek önmagukban is képesek igen sok információt kiszivárogtatni.
A módszer akár többféle modalitás között is működik: a tesztek során nemcsak különböző szöveges modellek, de multimodális modellek – például kép–szöveg rendszerek – embeddingjei is összehangolhatók egymással. Ez megnyitja az utat ahhoz, hogy például egy képből készült embeddinget átkonvertáljunk egy szöveges modell térképére, és onnan automatikusan generáljunk hozzá leírást vagy forgatókönyvet.
Mindez egyszerre izgalmas lehetőség és figyelmeztetés: az átalakítási képesség új, hatékony eszközöket ad a fejlesztők kezébe, ugyanakkor felhívja a figyelmet arra, hogy az embeddingek titkosítása vagy elrejtése önmagában nem nyújt teljes védelmet. A jövőben kulcsfontosságú lesz olyan védelmi megoldások kifejlesztése, amelyek a semlegesített embeddingeket is biztonságban tudják tartani, miközben megőrzik a modern NLP-rendszerek rugalmasságát és teljesítményét.
Forrás: https://arxiv.org/pdf/2505.12540
Kép: ChatGPT
