Как построить безопасный обмен моделями ИИ между конкурирующими предприятиями

Допустим, вы руководите командой машинного обучения в финтех-компании. Ваш конкурент — другая организация в той же нише — владеет моделью, которая хорошо предсказывает дефолты по кредитам. У вас есть сильная модель оценки рыночных рисков. Обеим сторонам было бы выгодно обменяться этими моделями для совместного исследования или создания продукта. Но вы — конкуренты. Отдавать свою модель напрямую нельзя: она стоит миллионы в обучении, содержит чувствительные паттерны данных и представляет собой ключевой актив. Просто взять и скопировать её — не вариант.

Эта ситуация встречается всё чаще: банки хотят объединять усилия для моделей антифрода, фармацевтические компании — для предсказания молекулярной активности, логистические — для оптимизации маршрутов. Нужен способ обменяться моделями так, чтобы ни одна сторона не получила чужую модель в чистом виде, но обе могли использовать её возможности.

Почему обычные подходы не работают

Первое, что приходит в голову — отправить модель по защищённому каналу, подписать NDA и надеяться на добросовестность. Это не работает по нескольким причинам:

  • Модель — это не документ. Её можно скопировать один раз и дальше использовать без ведома владельца. В отличие от базы данных, у которой есть логи доступа, модель после передачи становится полностью неконтролируемой.
  • NDA не техническое решение. Юридические договорённости не мешают извлечь из модели всё ценное. А доказать факт извлечения крайне сложно.
  • Регуляторы не принимают обещания. Если вы работаете с персональными данными или финансовой отчётностью, регулятор спросит не про договор, а про технические гарантии того, что модель не была скомпрометирована.
  • Инсайдерская угроза. Даже если ваш партнёрь честен, его сотрудник с доступом к файлу модели может использовать её за рамками соглашения.

Значит, нужны технические механизмы, которые делают утечку модели невозможной по конструкции, а не только по договору.

Три основных подхода к безопасному обмену

На практике сейчас используются три группы методов. У каждого — своя зрелость, свои ограничения и своя область применения.

Федеративное обучение

Идея простая: никто никому ничего не отправляет. Каждая сторона обучает модель на своих данных, а между ними передаются только обновления весов — градиенты или параметры. Из этих обновлений нельзя восстановить исходные данные или чужую модель.

Как это выглядит на практике:

  1. Обе стороны договариваются об архитектуре модели и протоколе обучения.
  2. Каждая сторона инициализирует свою копию модели с одинаковыми начальными весами.
  3. На каждом раунде каждая сторона обучает свою копию на локальных данных.
  4. Обновления (градиенты) агрегируются через центральный или одноранговый сервер.
  5. Агрегированные обновления отправляются обратно всем участникам.
  6. Цикл повторяется до сходимости модели.

Плюсы: данные не покидают периметр организации, модель общая для всех участников, подход хорошо изучен и есть зрелые фреймворки (Flower, PySyft, TensorFlow Federated).

Минусы: градиенты можно использовать для реконструкции обучающих данных через атаки инверсии модели. Это не теоретическая угроза — есть опубликованные исследования, показывающие её работоспособность на практике. Также требуется высокая степень доверия к серверу агрегации или использование безопасных протоколов многосторонних вычислений.

Безопасные многосторонние вычисления (MPC)

Здесь модели действительно передаются, но в зашифрованном виде. Ни одна сторона не видит чужую модель открытым текстом. Вычисления происходят над зашифрованными данными, и результат расшифровывается только в той форме, на которую согласились участники.

Конкретный сценарий: у вас есть модель А, у партнёра — модель Б. Вы хотите прогнать через обе модели общий набор тестовых данных и сравнить результаты. С помощью MPC это делается так:

  1. Обе стороны шифуют свои модели с использованием секретного разделения (secret sharing).
  2. Зашифрованные части распределяются между участниками.
  3. Вычисление прямого прохода (forward pass) через обе модели выполняется над разделёнными секретами.
  4. Результат собирается обратно только в виде агрегированных метрик — без раскрытия промежуточных значений.

Плюсы: математически доказуемая безопасность, модель не раскрывается ни на одном этапе, подходит для самых чувствительных сценариев.

Минусы: экстремальные накладные расходы. Модель среднего размера может работать в сотни раз медленнее. Требуется высококвалифицированная команда для настройки и поддержки. Протоколы MPC для нейросетей пока находятся на стадии исследовательских проектов и пилотных внедрений.

Доверенные среды исполнения (TEE)

Модель загружается в изолированную аппаратную среду (Intel SGX, AMD SEV, ARM TrustZone), куда не имеет доступа даже владелец сервера. Внутри этой среды модель расшифровывается, выполняет вычисления и зашифровывается обратно.

На практике это выглядит так:

  1. Владелец модели шифрует её и отправляет на сервер партнёра.
  2. Модель расшифровывается только внутри TEE — защищённого участка процессора.
  3. Внутри TEE модель выполняет инференс на предоставленных данных.
  4. Результат выходит из TEE в зашифрованном виде, доступ к нему получает только авторизованная сторона.
  5. Модель внутри TEE никогда не появляется в открытом виде за пределами анклава.

Плюсы: производительность близка к нативной, модель защищена даже от администратора сервера, технология аппаратная и проверяемая.

Минусы: зависимость от конкретных производителей процессоров, исторически находились уязвимости в реализациях SGX, требуется доверие к производителю оборудования. Также размер TEE ограничен — для больших моделей требуется специальная архитектура.

Сравнение подходов

Параметр Федеративное обучение MPC TEE
Зрелость технологии Высокая, есть продакшн-внедрения Средняя, в основном пилоты Высокая, поддерживается облачными провайдерами
Производительность Близка к обычному обучению В десятки-сотни раз медленнее Близка к нативной
Модель угрозы Защита данных, но не модели Полная защита модели и данных Защита от администратора сервера
Сложность внедрения Средняя Высокая Средняя
Типичный сценарий Совместное обучение на разных данных Совместный инференс без раскрытия Передача модели для исполнения на чужом сервере
Что защищает Обучающие данные И модель, и данные Модель на чужом сервере

Какой подход выбрать под вашу ситуацию

Если вам нужно совместно обучить модель на данных разных компаний — выбирайте федеративное обучение. Это единственный подход, который масштабируется на обучение с нуля или дообучение. Но обязательно добавьте дифференциальную приватность к градиентам — иначе участники смогут восстановить чужие данные из обновлений.

Если у каждой стороны уже есть готовая модель и нужно только пустить данные через чужую модель — используйте TEE. Это самый практичный вариант с точки зрения производительности. Убедитесь, что используете актуальные версии прошивок и проверяете attestation — доказательство того, что код действительно выполняется в защищённом анклаве.

Если требуется математически доказуемая гарантия и есть ресурсы на медленную работу — MPC. Подходит для ситуаций, где стоимость утечки модели измеряется миллионами, а время выполнения не критично.

Если бюджет ограничен и нужно быстрое решение — комбинация федеративного обучения с дифференциальной приватностью и агрегацией через доверенного посредника. Это не идеально с точки зрения безопасности, но покрывает большинство практических сценариев.

Частые ошибки при организации обмена

Передача модели в обмен на честное слово. Даже если партнёры подписали NDA и всё выглядит цивильно — после передачи файла вы не контролируете, что с ним происходит. Модель можно скопировать, дообучить на своих данных и использовать без ограничений. Юридические инструменты работают постфактум и медленно, а технические — превентивно и надёжно.

Использование федеративного обучения без дифференциальной приватности. Градиенты содержат информацию об обучающих данных. Без добавления шума участники могут восстановить чужие данные с помощью gradient inversion attacks. Это не теоретический риск — существуют готовые инструменты для таких атак.

Отсутствие attestation при использовании TEE. Если вы не проверяете, что код действительно выполняется в защищённом анклаве, вы доверяете серверу на слово. Злоумышленник или некорректный администратор могут загрузить модель вне TEE и извлечь её. Attestation — это не опция, а обязательный компонент.

Слепая вера в зашифрованные градиенты. Шифрование при передаче (TLS) защищает данные в транзите, но не на конечных точках. Сервер агрегации видит градиенты в открытом виде. Если сервер скомпрометирован — всё скомпрометировано. Используйте secure aggregation, при которой сервер не видит индивидуальных обновлений.

Нет аудита использования модели. Даже при безопасной передаче нужно отслеживать, сколько раз модель использовалась, на каких данных и какие результаты выдавала. Без аудита вы не узнаете, что модель использовалась за рамками соглашения.

Практические рекомендации

Вот минимальный набор мер, который стоит внедрить независимо от выбранного подхода:

  • Определите модель угрозы перед началом. Кто может атаковать? Внутренний нарушитель у партнёра? Хакер? Сам сервер агрегации? От ответа зависит, какой подход вам нужен.
  • Используйте дифференциальную приватность. Добавляйте калиброванный шум к градиентам или весам перед передачей. Уровень шума подбирается исходя из допустимого снижения качества модели.
  • Внедрите аудит использования. Логируйте каждый запрос к модели, фиксируйте объём данных и результаты. Это нужно не только для безопасности, но и для регуляторного соответствия.
  • Проводите регулярный аудит безопасности. Технологии защиты устаревают. То, что было безопасно два года назад, может быть уязвимо сегодня. Особенно это касается TEE — обновления прошивок выходят регулярно.
  • Ограничьте размер модели в TEE. Анклавы имеют ограниченный объём памяти (обычно до нескольких гигабайт после учёта служебных данных). Для больших моделей используйте поэтапную загрузку или комбинацию с другими подходами.
  • Договоритесь о порядке уничтожения. Что происходит с копиями модели после завершения сотрудничества? Как гарантируется удаление? Это должно быть прописано технически, а не только юридически.

Что реально работает в продакшне прямо сейчас

Если отбросить исследовательские проекты и посмотреть на то, что реально запущено в продакшне:

Федеративное обучение используется Google для предиктивной клавиатуры на Android-устройствах — модель обучается на локальных данных пользователей без передачи этих данных на сервер. В финтехе несколько банков запустили пилоты федеративного обучения для моделей кредитного скоринга — без обмена данными клиентов.

TEE активно используется облачными провайдерами: AWS Nitro Enclaves, Azure Confidential Computing, Google Confidential VMs — все они позволяют загружать чувствительные вычисления в защищённые анклавы. Это самый доступный сегодня способ безопасной передачи модели для исполнения на чужом сервере.

MPC для нейросетей пока остаётся в основном в исследовательских лабораториях и паре пилотных проектов. Основные игроки — криптографические стартапы и исследовательские группы при крупных технологических компаниях.

Итог

Безопасный обмен моделями между конкурентами — это не одна технология, а комбинация технических и организационных мер. На практике чаще всего работает связка: федеративное обучение с дифференциальной приватностью для совместного обучения, TEE для безопасного инференса на чужом сервере, и обязательный аудит всех операций с моделью.

Начните с простого: определите, что именно вы защищаете (модель, данные или и то и другое), выберите подходящий подход из таблицы выше, добавьте дифференциальную приватность и аудит. Этого достаточно для большинства сценариев. MPC оставьте на потом — когда зрелость технологии вырастет, а ваши требования к безопасности потребуют математически доказуемых гарантий.

Главное правило: не передавайте модель в открытом виде никому, даже если вы доверяете партнёру. Доверие — это не стратегия безопасности.

dfncfg.ru — цифровой мир и технологии