Federated Learning'de Gizlilik Tehlikesi: SOMP ve Büyük Dil Modellerinde Gradyan Tersine Çevirme Saldırıları

Giriş

Birleşik öğrenme (federated learning), özellikle sağlık, hukuk ve finans gibi hassas verilerin işlendiği alanlarda, veri gizliliğini korumak amacıyla yaygın olarak benimsenen bir paradigmadır. FedSGD protokolü altında, istemciler ham verileri paylaşmak yerine yalnızca yerel gradyan güncellemelerini merkezi sunucuya iletir. Uzun süredir, yerel küme boyutlarının (batch size) yeterince büyük tutulmasının, bireysel örnekleri gizleyerek gizliliği garanti altına aldığı varsayılmıştır. Ancak "SOMP: Scalable Gradient Inversion for Large Language Models via Subspace-Guided Orthogonal Matching Pursuit" başlıklı çalışma, bu varsayımın temelden sarsıldığını gösteren önemli kanıtlar sunmaktadır.

Gradyan tersine çevirme (gradient inversion) saldırıları, paylaşılan gradyanlardan özel eğitim metinlerinin yeniden yapılandırılabileceğini ortaya koyarak, büyük dil modellerinde (LLM) kritik bir gizlilik riski oluşturmaktadır. Bu saldırılar, dürüst fakat meraklı bir sunucunun, toplanmış gradyanlardan bireysel eğitim örneklerini çıkarabileceği anlamına gelir. SOMP, mevcut yöntemlerin başarısız olduğu uzun dizili ve yüksek küme boyutlu senaryolarda bile metin kurtarmanın mümkün olduğunu göstererek, birleşik öğrenmenin gizlilik garantilerini yeniden değerlendirme ihtiyacını gündeme getirmektedir.

Ana Analiz

Gradyan Tersine Çevirme ve Ölçeklenebilirlik Problemi

Gradyan tersine çevirme saldırıları ilk olarak Zhu ve arkadaşlarının (2019) çalışmasıyla görüntü verileri bağlamında ortaya çıkmıştır. Bu saldırılarda, paylaşılan gradyanlar üzerinden optimizasyon yapılarak orijinal girdi verileri tahmin edilmeye çalışılır. Ancak metin verileri, ayrık token uzayı ve tokenizasyonun getirdiği türevlenemez kısıtlar nedeniyle görüntülerden temelde farklıdır. Bu nedenle sürekli optimizasyon yöntemleri doğrudan metin alanına aktarılamamaktadır.

Daha önceki metin tabanlı yaklaşımlar, LAMP ve GRAB gibi hibrit yöntemler kullanmıştır. Bu yöntemler dış dil modellerinden yararlanarak veya sürekli ayrık optimizasyon kombinasyonları uygulayarak çalışırlar. Ancak bu yaklaşımlar, kombinatoryal patlama (combinatorial explosion) ve çapraz örnek girişimi (cross-sample interference) sorunları nedeniyle büyük küme boyutlarında ve uzun dizilerde başarısız olmaktadır. Özellikle GRAB, birden fazla örneğin gradyanlarının karıştığı durumlarda stabilite sorunları yaşar.

DAGER (Petrov ve ark., 2024) ise self-attention gradyanlarının düşük rank yapısını kullanarak tam kurtarma (exact reconstruction) sağlayan bir yöntemdir. Fakat DAGER, katman bazlı kapsamlı arama (exhaustive search) nedeniyle hesaplama maliyeti açısından prohibitif hale gelmekte ve uzun dizilerde attention gradyan matrisi tam ranka yaklaştığında yeniden yapılandırma doğruluğu düşmektedir. Sonuç olarak, mevcut yöntemler pratikte en alakalı olan uzun dizi ve çoklu örnek rejimlerinde kırılganlaşmaktadır.

SOMP Metodolojisi: Alt Uzay Rehberli Seyrek Sinyal Kurtarma

SOMP (Subspace-Guided Orthogonal Matching Pursuit), toplanmış gradyanlar altında çoklu örnek metin gradyan tersine çevirme için yapılandırılmış bir çerçeve sunar. Yazarların temel gözlemi, toplanmış transformer gradyanlarının rastgele karışımlar olmadığıdır. Bu gradyanlar, çok başlı dikkat (multi-head attention) mekanizması tarafından indüklenen başlık bazlı geometrik yapıyı (head-wise geometric structure) ve örnek düzeyinde seyreklik (sample-level sparsity) özelliklerini korumaktadır.

SOMP, metin kurtarma problemini gradyan uzayında yapılandırılmış bir yeniden yapılandırma problemi olarak yeniden formüle eder. Geleneksel yöntemlerin token düzeyinde kapsamlı arama yapmasının aksine, SOMP bu problemi seyrek sinyal kurtarma (sparse signal recovery) problemine dönüştürür. Orthogonal Matching Pursuit (OMP), sinyal işleme alanında bilinen bir seyrek yaklaşım algoritmasıdır. SOMP, bu algoritmayı transformer mimarisinin geometrik yapısıyla birleştirerek, karmaşık sinyalleri ayırmak için kademeli olarak arama uzayını daraltır.

Teknik detaylara bakıldığında, SOMP dikkat başlıklarının (attention heads) alt uzay yapısından yararlanarak aday filtreleme ve kod çözme işlemlerini yönlendirir. Girdi dizisi x için token gömme vektörleri (token embeddings) Z^0 olarak temsil edildiğinde, SOMP gradyan uzayındaki bu yapısal ipuçlarını kullanarak hangi tokenlerin hangi örneklere ait olduğunu ayırt etmeye çalışır. Bu yaklaşım, çapraz örnek girişimini etkili bir şekilde çözerek, önceki yöntemlerin ölçeklenebilirlik darboğazlarını önemli ölçüde hafifletir.

Deneysel Bulgular ve Performans Analizi

Çalışma, birden fazla transformer ailesi, farklı model ölçekleri ve beş farklı dil üzerinde kapsamlı deneyler sunmaktadır. Deneyler, SOMP'in toplanmış gradyan rejiminde tutarlı olarak önceki metin tabanlı saldırılardan daha güçlü yeniden yapılandırma kalitesi sağladığını göstermektedir. En büyük kazanımlar uzun dizi ve büyük küme boyutlu ayarlarda ortaya çıkmaktadır.

Uzun dizilerde ve küme boyutu B=16 için SOMP, güçlü temel yöntemlere kıyasla önemli ölçüde daha yüksek yeniden yapılandırma sadakati (reconstruction fidelity) elde etmektedir. Hesaplama açısından da rekabetçi kalarak, DAGER'ın katman bazlı arama maliyetinden kaçınmaktadır. Ancak en dikkat çekici bulgu, aşırı toplama (extreme aggregation) koşullarında ortaya çıkmaktadır. B=128 gibi son derece yüksek bir küme boyutunda bile SOMP, anlamlı metinler kurtarabilmektedir. Bu sonuç, önceki saldırıların çok daha az etkili hale geldiği rejimlerde bile gizlilik sızıntısının devam edebileceğini göstermektedir.

Çalışma ayrıca SOMP'in hesaplama maliyetinin, özellikle uzun dizilerde DAGER'a kıyasla çok daha düşük olduğunu ve ölçeklenebilirlik sorunlarını aştığını belirtmektedir. Bu, saldırganlar için pratik uygulanabilirliği artıran önemli bir faktördür.

Kendi Yorumum ve Özgün Çıkarımlar

SOMP çalışmasının en derin çıkarımı, federated learning sistemlerindeki "gizlilik tiyatrosu" (privacy theater) riskidir. Teknik olarak görünüşte sağlam olan toplama mekanizmaları, gradyanların taşıdığı cebirsel yapı nedeniyle beklenen gizlilik korumasını sağlamamaktadır. Transformer gradyanlarının geometrisinin, 128 örnek gibi yüksek sayılarda bile korunması, bu mimarilerin gizlilik açısından doğuştan getirdiği bir zafiyeti işaret etmektedir.

Bu durum, özellikle hastane kayıtları, hukuki belgeler veya finansal veriler üzerinde ince ayar (fine-tuning) yapılan senaryolarda endişe vericidir. Sistem tasarımcıları, yalnızca gradyan toplamanın yeterli olduğunu düşünerek hassas verileri koruduklarını sanabilirler. Oysa SOMP, bu gradyanların başlık bazlı alt uzay yapısı ve seyrek sinyal özellikleri sayesinde tersine mühendislik yapılabileceğini kanıtlamaktadır.

Öte yandan, bu saldırının başarısı aynı zamanda transformer modellerinin öğrenme dinamikleri hakkında önemli bilgiler sunmaktadır. Gradyanların bu kadar yapısal bilgi taşıması, bu modellerin ne kadar verimli öğrendiğinin bir göstergesidir. Ancak bu verimlilik, gizlilik ile yararlılık arasındaki temel gerilimi de ort