本文由人工智慧觀察編譯

譯者：Sandy

總的來說，環境計算涵蓋了應用機器學習和其他形式的人工智慧程式，其特點是具有接近人類的認知、行為能力和語境意識。它創造了一個數字環境，在這個環境中，企業將技術無縫地整合到我們身邊的每個事物中，最大地發揮其效用。

眾所周知，機器學習需要大量的資料來實現模型教授，而我們作為使用者經常把這些資料上傳到谷歌或亞馬遜的機器學習雲伺服器上，這並不總是安全的，因為有關伺服器遭遇黑客攻擊造成資訊洩露的訊息時有發生。所以，正在大肆興起的機器學習即服務（Machine Learning as a Service，以下簡稱MLaaS）可以保護我們的隱私資料嗎？

機器學習是當今電腦科學最熱門的學科之一。事實上，雲服務提供商在

不過，在這個過程中存在一個“漏洞”，即所有的培訓資料都必須透漏給執行該服務的操作人員，即使操作人員本身不會故意訪問資料，但也不能完全保證，資料不會被有心人士利用。就像現在正處於水深火熱中的Facebook，正是因為資料被第三方使用，對某些敏感事件造成了不小的影響，因此被千人所指。

最近，來自德克薩斯大學的Tyler Hunt、康奈爾大學的Congzheng Song以及新加坡國立大學的Reza Shokri共同完成了一篇名為《Chiron: Privacy-preserving Machine Learning as a Service》的論文，提出了一種保護隱私的系統，同時也允許使用MLaaS雲端計算服務。

隱私具有兩面性

從使用者的角度出發，他們不希望洩露自己的培訓資料，但是在服務商看來，他們也有自己的隱私問題，即不希望客戶窺探到其技術中的演算法。

為了解決這個問題，Chiron會對服務提供商隱藏培訓資料，與此同時，為了與現有的MLaaS平臺的服務方式保持一致，Chiron也不會向用戶展示培訓演算法以及模型結構，只會對他們提供培訓模型的黑盒訪問。

Chiron使用了英特爾的SGX（Software Guard Extensions）安全“飛地”，這是一種旨在提高應用程式程式碼安全性的架構，它對於軟體的保護並不是識別或者隔離系統中出現的惡意軟體，而是將合法軟體對於敏感資料（如加密金鑰、密碼、使用者資料等）的操作封裝在一個enclave中，使得惡意軟體無法對這些資料進行訪問。

但僅有SGX是不夠的。Chiron使用了基於SGX實現的Ryoan sandbox，一種分散式沙盒。Ryoan不僅不信任底層的系統軟體，同時也不能信任服務提供商提供的服務邏輯程式碼。

服務提供商可能將自己的程式碼執行在不可信的平臺上，也可能與程式碼執行的平臺進行勾結，將使用者隱私洩露出去，比如通過系統呼叫的順序或者引數洩露使用者隱私。Ryoan同樣能夠抵禦攻擊者通過covert channel傳遞使用者隱私。

威脅模型

Chiron的目標是在雲中保護使用者的培訓資料，以及經過培訓的模型查詢和輸出。為實現這一目標：

我們假設整個平臺是不可信的，包括...作業系統和虛擬機器監控程式。攻擊者可能是機器的所有者或操作員，甚至是惡意的管理員，或者是一個已經控制了作業系統或管理程式的攻擊者。攻擊者…也有可能是一個惡意的作業系統開發人員，並添加了直接記錄使用者輸入的功能。

由於經過訓練的模型可以通過某些查詢洩漏訓練資料，Chiron確保只有提供培訓資料的實體才能查詢得到的模型，也就是說，即使是完全控制基礎設施的攻擊者也無法查詢模型來訪問培訓資料。

似乎這一切看起來已經足夠全面了，但是底層硬體還是存在一些問題

侷限性

SGX本身並不是“防彈”的，特別是英特爾的效能監測單元（PMU），可以讓不受信任的平臺深入瞭解系統正在進行的工作。

SGX當前的規範允許特權軟體操作“飛地”的頁表，以觀察其在頁面級粒度上的程式碼和資料跟蹤。這可能導致毀滅性的攻擊...

由於Chiron依賴於英特爾的SGX，因此它不能與GPU一起使用，因為它們缺少類似於SGX的設施。因此，在GPU供應商開始認真對待安全性問題之前，目前的實施情況遠非理想。

效能

儘管存在侷限性，Hunt等人測試了Chiron，發現它的效能可以與標準的、不受保護的基礎設施相競爭。

小智觀點總結

如今，在這個現代化的、龐大的資料世界裡，有成千上萬的漏洞存在，也有成千上萬的漏洞被惡意利用。保證所有資料萬無一失似乎不太可能，但是我們能做的就是一點點進步，一點點變得更好。不可否認，Chiron的問世，就是進步的表現。

所以，現在我們要讓這種不斷進步的狀態繼續保持，總有一天大資料會帶領我們在世界範圍內不斷狂奔！