حماية الأسرار عبر الخصوصية التفاضلية في أنظمة الاصطناعي دون التضحية بالفائدة

في قلب الجهود الرامية إلى تطوير أنظمة ذكاء اصطناعي قادرة على التعامل مع بيانات حساسة، تبرز مفارقة أساسية  وهي أنه كلما ازدادت مستويات الخصوصية، تراجعت الفائدة أو قابلية الاستخدام، والعكس صحيح. تضع هذه المعضلة الباحثين أمام سؤال جوهري: كيف يمكن بناء أنظمة موثوقة تحافظ على سرية المعلومات دون أن تفقد قيمتها العملية؟

يوضح روشيل ثاريجا، طالب الدكتوراه في معالجة اللغة الطبيعية بجامعة محمد بن زايد للذكاء الاصطناعي، هذه الإشكالية بقوله: “إذا أردنا تحقيق أقصى درجات الخصوصية، يمكن ببساطة إزالة جميع المعلومات من المستند، لكن في هذه الحالة سنفقد أي فائدة تُذكر”.

تعتمد هذه المنهجية على مفهوم الخصوصية التفاضلية ، وهو إطار رياضي يُستخدم لضبط مقدار المعلومات الحساسة التي يمكن أن تنعكس في مخرجات النموذج أثناء مرحلة الاستدلال. وأظهرت نتائج دراسة حديثة أن نموذج DP-Fusion يحقق توازناً أدق بين الخصوصية والفائدة مقارنة بأساليب أخرى، وسيتم عرض هذه النتائج خلال المؤتمر الدولي الرابع عشر لتمثيلات التعلم في ريو دي جانيرو.

و إلى جانب ثاريجا، شارك في إعداد الدراسة كل من البروفيسور نيلز لوكاس، والبروفيسور برانيث فيباكوما، ورئيس قسم معالجة اللغة الطبيعية البروفيسور بريسلاف ناكوف.

ويشرح لوكاس جوهر التحدي قائلاً: “تكمن المشكلة الأساسية في كيفية الوثوق بالأنظمة عند التعامل مع معلومات خاصة؛ فإذا زُوّدت هذه الأنظمة ببيانات حساسة ضمن المدخلات أثناء مرحلة الاستدلال، وأنتجت مخرجات يمكن للآخرين الاطلاع عليها، فهل يمكننا تطوير آلية تحدّ بدقة من مقدار ما قد تكشفه هذه المخرجات عن تلك المدخلات؟”.

مشكلة الخصوصية

تعتمد بعض الأساليب الحالية على إعادة صياغة النصوص التي تحتوي على معلومات تعريف شخصية (PII)، غير أن هذا لا يمنع بالضرورة استنتاج تلك المعلومات بطرق غير مباشرة. فحتى في حال خلو المخرجات المُعاد صياغتها من هذه البيانات بشكل صريح، يمكن لمهاجمين ذوي خبرة استنتاجها من العناصر اللغوية الناتجة (tokens)، إذا توفرت لديهم معرفة كافية بالنظام الذي أنتج هذه المخرجات. كما يُستخدم أسلوب توجيه النماذج عبر الأوامر (Prompt Engineering)، حيث يتم تقييد النموذج بعدم الكشف عن المعلومات الحساسة، إلا أن هذا الأسلوب لا يقدّم ضماناً حقيقياً بعدم تسرب هذه البيانات.

في المقابل، يصف ثاريجا وزملاؤه الحل المقترح بأنه منهج للاستدلال بالخصوصية التفاضلية يعمل على مستوى العناصر اللغوية (tokens)، ويوفّر وفقاً لما يذكره الباحثون  حدوداً مثبتة رياضياً لتأثير العناصر الحساسة في السياق على العناصر المتولّدة في المخرجات. ويشمل “السياق” في هذا الإطار كلاً من المُحفّزات (prompts)، والاستفسارات، واستجابات النموذج، إضافة إلى البيانات المسترجعة من أدوات أو قواعد بيانات خارجية.

كما يتيح نهج DP-Fusion للمستخدم التحكم في مستوى الخصوصية ودقّتها، من خلال تحديد مجموعة أو أكثر من “مجموعات الخصوصية”، مع ضبط درجة الحساسية لكل مجموعة. فعلى سبيل المثال، يمكن تخصيص مستوى خصوصية للأسماء، وآخر للتواريخ، وآخر للمنظمات، مع تحديد مدى أهمية حماية كل منها.

ولتحقيق ذلك، يقترح الفريق استخدام نظام للتعرّف على الكيانات المسماة (NER) بوصفه “مرجعاً” (oracle) يقوم بوسم العناصر اللغوية المرتبطة بكل مجموعة خصوصية داخل النص. وبناءً على ذلك، يتم إنشاء نسخة عامة من المستند تخلو من العناصر الحساسة، إلى جانب نسخ جزئية تكشف مجموعة واحدة فقط في كل مرة كأن تُظهر الأسماء فقط أو التواريخ فقط.  وخلال مرحلة الاستدلال، يتم أخذ عينات من توزيعات التنبؤ التالية لكل من النسخة العامة والنسخ الخاصة، ثم دمجها لإنتاج نص “منقّى” يحافظ على المعنى مع الحد من تسرب المعلومات.

وتكمن أهمية هذا النهج في أنه ينقل ضمانات الخصوصية من مستوى المستند بالكامل إلى مستوى العناصر اللغوية الفردية، وهو ما  يتيح تحقيق توازن أدق بين الخصوصية وقابلية الاستخدام مقارنة بالأساليب الأخرى بحسب ثاريجا.

يعتمد هذا النهج على معامل يُعرف بـ “إبسيلون” (ε)، وهو بمثابة أداة تحكم تحدد مدى تأثير العناصر الحساسة على المخرجات. فكلما انخفضت قيمة هذا المعامل، تقلّص تأثير هذه العناصر، ما يعزز حماية الخصوصية، لكنه في المقابل يقلل من جودة النص. ويمكن ضبط هذه القيمة بشكل مستقل لكل مجموعة خصوصية.

ومن أبرز مزايا هذا النهج أنه يُطبّق أثناء مرحلة الاستدلال، دون الحاجة إلى إعادة تدريب النموذج. ويصف ثاريجا ذلك بقوله إنه “نهج لاحق (post-hoc) يعمل فوق النموذج، ويُعد في جوهره استراتيجية لفك الترميز”.

وفي التجارب الأساسية التي عُرضت في المؤتمر الدولي لتمثيلات التعلّم (ICLR)، استخدم الباحثون تسميات أُنشئت بشرياً بدلاً من التسميات الناتجة عن نظام التعرّف على الكيانات المسماة (NER). ويشير ثاريجا إلى أن الفريق طوّر بالفعل وحدة خاصة بهذا النظام يمكن استخدامها مع DP-Fusion. كما أن الورقة البحثية المتعلقة بهذه الوحدة — والتي أُعدّت بالتعاون مع باحثين من معهد إندرا براسثا لتكنولوجيا المعلومات في دلهي وشركة Google DeepMind — متاحة حالياً بصيغة مسوّدة أولية (preprint). وقد طوّر الفريق أيضاً تطبيقاً تجريبياً يجمع بين وحدة NER ونظام DP-Fusion.

أداء DP-Fusion

اختبر الباحثون DP-Fusion ضمن سيناريو يقوم فيه النظام بإنتاج مستندات جديدة مُعاد صياغتها يمكن إرسالها إلى نموذج لغوي كبير لتقديم خدمات تعتمد على هذه المستندات — مثل التحليلات — دون الكشف عن المعلومات الخاصة. ويفترض هذا السيناريو أن المهاجم على دراية بالنموذج اللغوي المستخدم وطريقة الاستدلال الخاصة بالحفاظ على الخصوصية، كما يمتلك إمكانية الوصول إلى المخرجات المُعاد صياغتها، إضافة إلى النسخة الأصلية من المستند بعد حجب مجموعة الخصوصية المستهدفة.

وقد صيغ التقييم على هيئة “لعبة استرجاع العناصر”: حيث يُطلب من المهاجم، عند عرض خمسة خيارات، تحديد العناصر الحساسة التي كانت موجودة في النص الأصلي. ونظراً لأن التخمين العشوائي ينجح بنسبة 20%، فإن تحقيق معدل قريب من هذه النسبة يشير إلى مستوى قوي من حماية الخصوصية.

استخدم الباحثون مجموعة بيانات تُعرف باسم TAB-ECHR، وهي مجموعة من وثائق قضايا المحكمة الأوروبية لحقوق الإنسان، تتضمن ثمانية أنواع من البيانات الحساسة المعرّفة بشرياً. ومع ذلك، ركّز الفريق على ثلاثة أنواع رئيسية — الأشخاص (PERSON)، والرموز (CODE)، والتواريخ (DATETIME) — نظراً لظهورها في جميع السجلات. كما استُخدم نموذج Qwen 2.5 7B Instruct كنموذج أساسي.

قام الباحثون بتحليل كلٍّ من قابلية الاستخدام والخصوصية. حيث قيسَت قابلية الاستخدام باستخدام مقياس “الحيرة” (Perplexity)، بوصفه مؤشراً على سلاسة اللغة وطبيعتها، إضافة إلى استخدام نموذج لغوي كمحكّم لتقييم الجودة. كما أظهروا أن DP-Fusion يوفر ضمانات نظرية للخصوصية.

وعند مقارنة DP-Fusion بأساليب أخرى في الخصوصية التفاضلية، مثل DP-Prompt وDP-Decoding، تبيّن أنه يحقق درجات أقل بكثير من الحيرة عند قيم منخفضة لمعامل إبسيلون، وهو ما يعني إنتاج نصوص أكثر قابلية للقراءة، مع الحفاظ في الوقت ذاته على مستويات الحماية.

وقد حافظ DP-Fusion على درجات حيرة تراوحت بين 1.42 و1.46 عبر مختلف إعدادات الخصوصية، في حين سجّل أسلوب DP-Prompt درجة حيرة بلغت 4.26 في أفضل حالاته القابلة للاستخدام، وارتفعت إلى 8.44 عند إعدادات الخصوصية الأعلى، ما أدى إلى إنتاج نصوص يصعب قراءتها.

أما من حيث الخصوصية، فقد تراوح معدل نجاح الهجمات على DP-Fusion بين 26% و29%، وهو مستوى يُعد منافساً لأفضل ما تحققه الأساليب الأخرى من حيث الحماية. ومع ذلك، تميّز DP-Fusion بتحقيق هذا المستوى من الخصوصية مع الحفاظ على نص أكثر وضوحاً وسلاسة.

إضافة إلى تحسين التوازن بين الخصوصية وقابلية الاستخدام، أسهم DP-Fusion أيضاً في تعزيز الأمان، حيث خفّض معدل نجاح هجمات “كسر الحماية” (jailbreaking) إلى الصفر في الإعدادات الصارمة. ويعلّق ناكوف، أحد المشاركين في الدراسة، على ذلك قائلاً إن هذه النتيجة مهمة، لأن الخصوصية والأمان لا يمكن التعامل معهما كقضيتين منفصلتين في أنظمة الذكاء الاصطناعي الوكيلة. ويضيف: “يبين DP-Fusion أنه إذا أمكننا تقييد مقدار تأثير السياق الحساس أو غير الموثوق على استجابة النموذج، فإننا لا نقلل فقط من خطر تسرب المعلومات الخاصة، بل نجعل أيضاً هجمات حقن الأوامر ومحاولات كسر الحماية أكثر صعوبة. ومثل هذه الضمانات المبدئية ستكون ضرورية لبناء ثقة المستخدمين في أنظمة الذكاء الاصطناعي في العالم الواقعي”.

ما الذي ينتظرنا

يرسم فيباكومّا، أحد المشاركين في الدراسة، تصوراً لمستقبل تعمل فيه الأنظمة الوكيلة بسلاسة مع بعضها البعض. ورغم أن الانتشار الواسع لهذه الأنظمة قد يؤدي إلى مكاسب كبيرة في الإنتاجية، فإن كل نظام منها يحمل في طياته مخاطر، ويُعد تسرب الخصوصية من أبرزها. ويقول: «إذا لم تتوافر ضوابط مثل DP-Fusion تضمن حماية الخصوصية على مستوى كل نظام، فقد نشهد سلسلة متتابعة من الأخطاء، ما يؤدي إلى تحديات خطيرة في مجالي الخصوصية والأمان».

ومع ذلك، يشير فيباكومّا إلى أن الخصوصية مفهوم يصعب تعريفه بدقة، إذ لا يُعد مصطلحاً تقنياً بحتاً. فبينما توفر تشريعات مثل اللائحة العامة لحماية البيانات في أوروبا (GDPR) أطرًا قانونية للتعامل مع المعلومات الخاصة، تظل تفضيلات الأفراد متفاوتة تبعاً للسياقات التي يتعاملون فيها مع هذه البيانات. ويرى أن من الفوائد الأوسع لتقنيات مثل DP-Fusion، ولمجال الخصوصية التفاضلية عموماً، أنها تتيح وسيلة «لإضفاء طابع منهجي على الحاجة المجتمعية إلى الخصوصية وتحويلها إلى مفهوم قابل للتعريف والقياس».

وقد أتاح الباحثون نموذج DP-Fusion للاستخدام، بحيث يمكن للباحثين والمطورين تشغيله بأنفسهم، إلى جانب تطوير إرشادات مخصّصة لمساعدة المهتمين على تطبيقه والاستفادة منه.