OpenAI Privacy Filter का परिचय

 (openai.com)
6 पॉइंट द्वारा GN⁺ 3 일 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह अनस्ट्रक्चर्ड टेक्स्ट में व्यक्तिगत पहचान योग्य जानकारी की पहचान और मास्किंग करने वाला एक open-weight मॉडल है, जिसे लोकल रूप से चलाकर फ़िल्टरिंग से पहले डेटा को डिवाइस से बाहर जाने से रोका जा सकता है
  • यह bidirectional token classification और span decoding को मिलाकर एक ही बार में इनपुट को लेबल करता है, और अधिकतम 128,000 टोकन कॉन्टेक्स्ट में PII span को तेज़ी से पुनर्स्थापित करने के लिए डिज़ाइन किया गया है
  • फोन नंबर या ईमेल फ़ॉर्मैट पर निर्भर नियम-आधारित तरीकों के विपरीत, यह भाषा और कॉन्टेक्स्ट की समझ के आधार पर सार्वजनिक जानकारी और मास्किंग योग्य जानकारी के बीच बेहतर फर्क करता है
  • इसे सार्वजनिक डेटा और synthetic डेटा को साथ में इस्तेमाल करके प्रशिक्षित किया गया है, और PII-Masking-300k पर F1 96% तथा सुधारित संस्करण में F1 97.43% दर्ज किया गया; कम डेटा में भी domain adaptation प्रदर्शन 54% से 96% तक बढ़ा
  • यह anonymization tool या compliance certification का विकल्प नहीं है, और उच्च-संवेदनशील क्षेत्रों में मानव समीक्षा, domain-specific मूल्यांकन और अतिरिक्त fine-tuning अब भी महत्वपूर्ण हैं

उत्पाद का अवलोकन और डिप्लॉयमेंट तरीका

  • यह व्यक्तिगत पहचान योग्य जानकारी की पहचान और मास्किंग के लिए विशेष रूप से बना open-weight मॉडल है, जो टेक्स्ट में PII खोजकर उसे मास्क या हटाया जा सकता है
  • यह लोकल execution को सपोर्ट करता है, जिससे फ़िल्टरिंग से पहले डेटा को डिवाइस से बाहर जाने से रोका जा सकता है और सर्वर पर भेजकर de-identification करने की तुलना में exposure risk कम हो सकता है
  • इसे लंबे इनपुट को तेज़ी से प्रोसेस करने के लिए डिज़ाइन किया गया है, और एक ही pass में यह तय कर सकता है कि क्या मास्क करना है
  • डेवलपर्स इसे अपने वातावरण में चला सकते हैं और अपने उपयोग मामलों के अनुसार fine-tune करके training, indexing, logging और review pipelines में अधिक मजबूत privacy protection जोड़ सकते हैं
  • यह Hugging Face और GitHub पर Apache 2.0 लाइसेंस के तहत जारी किया गया है, और इसे experiment, customization और commercial deployment तक ध्यान में रखकर बनाया गया है

मौजूदा तरीकों से क्या अलग है

  • पारंपरिक PII detection टूल्स अक्सर फोन नंबर या ईमेल पते जैसे फ़ॉर्मैट के लिए deterministic rules पर निर्भर करते हैं
  • यह तरीका सीमित दायरे में अच्छा काम कर सकता है, लेकिन अधिक सूक्ष्म निजी जानकारी छूट सकती है और कॉन्टेक्स्ट संभालने में भी कमजोर रहता है
  • Privacy Filter अधिक गहरी भाषा और कॉन्टेक्स्ट समझ के आधार पर अनस्ट्रक्चर्ड टेक्स्ट में अधिक व्यापक दायरे की PII पहचान सकता है
  • इसे इस तरह डिज़ाइन किया गया है कि जो जानकारी सार्वजनिक होने के कारण सुरक्षित रखी जानी चाहिए और जो किसी व्यक्ति से जुड़कर मास्क या हटाई जानी चाहिए, उनके बीच बेहतर अंतर कर सके
  • इसे मौजूदा स्तर से आगे बढ़कर privacy मानकों को ऊंचा करने के उद्देश्य से विकसित किया गया है, और आंतरिक privacy-preserving workflows में इसका fine-tuned संस्करण भी इस्तेमाल हो रहा है

मॉडल संरचना और डिटेक्शन का दायरा

  • यह bidirectional token classification model और span decoding के संयोजन वाली संरचना का उपयोग करता है
  • यह autoregressive pretraining checkpoint से शुरू होकर स्थिर privacy label schema पर token classifier के रूप में अनुकूलित किया गया है
  • टेक्स्ट को टोकन-दर-टोकन जनरेट करने के बजाय, यह पूरे इनपुट sequence को एक बार में लेबल करता है और फिर constrained Viterbi procedure से सुसंगत span पुनर्निर्मित करता है
  • इसी संरचना की वजह से यह single forward pass में सभी टोकन लेबल करने वाली उच्च-गति और उच्च-दक्षता विशेषता दिखाता है
  • यह आसपास के कॉन्टेक्स्ट का उपयोग करके PII span का निर्धारण कर सकता है, और सार्वजनिक मॉडल अधिकतम 128,000 टोकन कॉन्टेक्स्ट सपोर्ट करता है
  • संचालन वातावरण के अनुसार recall और precision के बीच संतुलन बिंदु समायोजित किया जा सकता है
  • जारी मॉडल में कुल 1.5B parameters हैं, जिनमें सक्रिय parameters 50M हैं
  • इसकी prediction categories 8 हैं: private_person, private_address, private_email, private_phone, private_url, private_date, account_number, secret
  • account_number का उपयोग credit card number और bank account number सहित विभिन्न account numbers को मास्क करने के लिए होता है, जबकि secret में password और API key जैसी चीज़ें आती हैं
  • labels को BIOES span tags के रूप में decode किया जाता है, जिससे अधिक साफ़ और सुसंगत masking boundaries बनती हैं

प्रशिक्षण प्रक्रिया और मूल्यांकन परिणाम

  • पहले एक privacy taxonomy बनाई गई, जिसमें मॉडल को पहचानने वाले span types परिभाषित किए गए
    • इसमें व्यक्तिगत identifiers, contact information, addresses, private dates, credit और bank जानकारी सहित कई account numbers, और API keys व passwords जैसे secret शामिल हैं
  • pretraining language model का language modeling head हटाकर उसे token-classification head से बदला गया, और फिर supervised classification objective के साथ आगे प्रशिक्षण दिया गया
  • public data और synthetic data को मिलाकर प्रशिक्षण दिया गया ताकि यह यथार्थवादी टेक्स्ट और कठिन privacy patterns दोनों को पकड़ सके
    • public data में जहाँ labels अधूरे थे, वहाँ model-assisted annotation और review से coverage बढ़ाई गई
    • synthetic examples का उपयोग formats, contexts और privacy subtypes की विविधता बढ़ाने के लिए किया गया
  • inference के दौरान token-level predictions को constrained sequence decoding के जरिए सुसंगत spans में बदला जाता है
  • standard benchmarks के साथ-साथ अधिक कठिन context-sensitive मामलों के लिए अतिरिक्त synthetic और chat-style evaluations भी किए गए
  • PII-Masking-300k पर इसने F1 96%, precision 94.04% और recall 98.04% दर्ज किया
  • review के दौरान पहचानी गई dataset annotation समस्याओं को शामिल करने वाले सुधारित संस्करण में F1 97.43%, precision 96.79% और recall 98.08% दर्ज किया गया
  • बहुत कम डेटा के साथ भी domain adaptation तेज़ी से हुई, और मूल्यांकित domain adaptation benchmark में F1 54% से 96% तक बढ़ गया
  • मॉडल कार्ड में codebase के secret detection तथा multilingual, adversarial और context-dependent उदाहरणों पर stress tests भी शामिल हैं

सीमाएँ और उपयोग के समय सावधानियाँ

  • यह anonymization tool नहीं है, compliance certification नहीं है, और high-risk वातावरण में policy review का विकल्प भी नहीं है
  • यह privacy-centered design वाले पूरे सिस्टम का केवल एक घटक है
  • इसका व्यवहार प्रशिक्षण में इस्तेमाल की गई label taxonomy और decision boundaries से प्रभावित होता है
  • अलग-अलग संगठनों की detection और masking policies भिन्न हो सकती हैं, इसलिए domain के भीतर evaluation या अतिरिक्त fine-tuning की आवश्यकता हो सकती है
  • प्रशिक्षण distribution से अलग भाषाओं, लिपियों, naming conventions और domains में इसका प्रदर्शन बदल सकता है
  • यह दुर्लभ identifiers या अस्पष्ट व्यक्तिगत संदर्भों को मिस कर सकता है, और खासकर छोटे sequences जैसे सीमित कॉन्टेक्स्ट में ज़रूरत से ज़्यादा या कम masking कर सकता है
  • कानून, चिकित्सा और वित्त जैसे उच्च-संवेदनशील क्षेत्रों में मानव समीक्षा, domain-specific evaluation और fine-tuning अब भी महत्वपूर्ण हैं

रिलीज़ का उद्देश्य और आगे की दिशा

  • privacy protection को research, product design, evaluation और deployment के पूरे चक्र में एक लगातार चलने वाली चुनौती के रूप में देखा जाता है
  • यह संकीर्ण रूप से परिभाषित वास्तविक कार्यों में frontier-level प्रदर्शन देने वाले छोटे और efficient models के महत्व को दर्शाता है
  • इसे इस लक्ष्य के साथ जारी किया गया है कि privacy-preserving infrastructure को अधिक आसानी से audit, run, adapt और improve किया जा सके
  • यह ऐसे टूल के रूप में रखा गया है जो मॉडल को दुनिया के बारे में सीखने में मदद करे, लेकिन व्यक्तियों की निजी जानकारी न सीखने दे
  • यह preview release research और privacy community से feedback लेकर प्रदर्शन को और बेहतर बनाने की दिशा में भी एक कदम है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 3 일 전
Hacker News की राय
  • इस तरह की सुविधा को कई साल पहले पहले ही लागू करके देखा था, और उसके नतीजे में कुछ बातें साफ़ हुई थीं
    PII redaction में UX बनाए रखने के लिए उसे क्लाइंट पर वापस restore करना पड़ता है। उदाहरण के लिए, अगर नाम John है और उसे [NAME] से छिपाया गया है, फिर मॉडल Hi [NAME] जैसा जवाब देता है, तो यूज़र को दिखाने से पहले उसे Hi John में restore करना होगा
    आखिरकार यूज़र जिस layer से interact करता है, उसमें reverse substitution mechanism चाहिए
    और छिपाया गया PII डेटा ज़्यादातर कामों में लगभग बेकार होता है। मॉडल को काम करने के लिए कुछ हद तक वास्तविक डेटा चाहिए, लेकिन PII में आने वाली चीज़ें इतनी ज़्यादा हैं कि साधारण chat तो चल सकता है, मगर जहाँ यूज़र को LLM के साथ जटिल तरीके से interact करना हो, वहाँ कठिनाई बहुत बढ़ जाती है। या तो कुछ भी ठीक से नहीं हो पाता, या hallucination होने लगते हैं
    इसलिए platform स्तर पर इसका support होता है, लेकिन इन सीमाओं की वजह से व्यवहार में इसका ज़्यादा इस्तेमाल नहीं होता
    मुझे लगता है कि व्यावहारिक तरीका यह है कि सिर्फ़ high-risk PII के कुछ हिस्से हटाए जाएँ, और ऐसा trusted model इस्तेमाल किया जाए जो PII को जितना जल्दी हो सके discard कर दे। इसके लिए system design भी काफ़ी अलग बनानी पड़ती है
  • https://github.com/KevinXuxuxu/anon_proxy बना रहा हूँ। यह LLM provider के सामने रखने वाला एक तरह का anonymization proxy टूल है
    इसमें model-based detection और regex PII detection दोनों का इस्तेमाल होता है, और API request व response में replacement और restoration दोनों दिशाओं में handle किए जाते हैं। अगर detection model को लोकल पर host करें, तो PII लोकल environment के बाहर नहीं जाता
    क़ानूनी, टैक्स, इमिग्रेशन जैसे sensitive documents संभालते समय यह खास तौर पर उपयोगी था
    • इस तरीके की अच्छी बात यह है कि इसे किसी भी model के साथ जोड़ा जा सकता है
      लेकिन बातचीत का पूरा context फिर भी मॉडल और operator देख सकते हैं
      इसलिए मुझे Moxie के Confer जैसा https://confer.to/ पूरी तरह encrypted approach ज़्यादा पसंद है, जहाँ end user के अलावा कोई plaintext नहीं देख सकता
    • response side की restoration process कैसे होती है, यह जानने की जिज्ञासा है
      अगर document को input में छिपाया गया था, तो LLM output में भी वही छिपी हुई चीज़ें होंगी, उसके बाद आगे कैसे बढ़ते हैं, यह समझ नहीं आ रहा
  • इस release में तकनीकी रूप से दिलचस्प हिस्से काफ़ी हैं
    Privacy Filter एक bidirectional token-classification model है जिसमें span decoding जोड़ी गई है, और कहा गया है कि इसे autoregressive pretraining checkpoint से शुरू करके fixed privacy label taxonomy पर token classifier के रूप में adapt किया गया
    टेक्स्ट को token-by-token generate करने के बजाय यह input sequence को एक बार में label करता है, और constrained Viterbi प्रक्रिया से consistent span decode करता है
    जारी किया गया मॉडल कुल 1.5B parameters का है, जिनमें active parameters 50M बताए गए हैं
    यह भी बताया गया कि pretrained language model के LM head को token-classification head से बदलकर, supervised classification objective के साथ post-training करके इसे बनाया गया
    • तो फिर ऐसा लगता है कि इसे दूसरे PII detection तरीकों पर निर्भर हुए बिना unstructured text में sensitive information की location ढूँढने के लिए भी इस्तेमाल किया जा सकता है
      मूल टेक्स्ट को filter से गुज़ारकर span निकाला जाए, और फिर उस span को वापस मूल टेक्स्ट पर map किया जाए, तो अंततः PII location information पूरी मिल जाएगी
  • OpenAI जितना स्मार्ट नहीं है, लेकिन browser में BERT-based NER से कुछ PII छिपाने वाला https://tools.nicklothian.com/webner/index.html बनाया है
    जिन use cases पर मैंने इसे आज़माया, वहाँ यह काफ़ी अच्छा चला
    OpenAI का मॉडल काफ़ी छोटा लग रहा है, इसलिए सोच रहा हूँ कि इसे भी अपने टूल में जोड़कर देखूँ
    • अभी दस्तावेज़ पर चलाकर देखा, और false positive इतने ज़्यादा थे कि इस्तेमाल करना काफ़ी मुश्किल लगा
      लगभग 100 लाइन के markdown document में matter को frontmatter का हिस्सा होने के बावजूद organization माना, end को frontend का हिस्सा होने के बावजूद organization माना, और MCP को भी organization classify कर दिया
      Following the discussion in , blahblah जैसे व्याकरण की दृष्टि से भी बेअर्थ नतीजे बहुत थे
      बिल्कुल 10 साल पुराने NLP के दौर में लौट आने जैसा लगा, और फिर याद आया कि उस क्षेत्र में spaCy सच में कितना अच्छा project था
  • यह साफ़ कर देना चाहिए कि इस तरह के मॉडल लगभग हमेशा भोले और बुनियादी होते हैं
    Hi, this is Bob. जैसे किसी एकल और neutral message के लिए यह आमतौर पर काफ़ी होगा, लेकिन जैसे ही डेटा जमा होना शुरू होता है, identity leak risk को पूरी तरह ध्यान में रखने वाला PII redaction tool मैंने अभी तक नहीं देखा
    लेकिन असली समस्या तब बढ़ती है जब कंपनियाँ यह इस्तेमाल करके मानने लगती हैं कि डेटा anonymized हो गया है। वह anonymization नहीं है
    फिर भी अगर डेटा को सीधे publish या share नहीं किया जा रहा, बल्कि moderation, human eval, model training जैसे intermediate processing steps में इस्तेमाल हो रहा है, तो ऐसी filtering काफ़ी उपयोगी हो सकती है
  • थोड़ा अफ़सोस है कि ज़्यादातर examples ऐसी चीज़ों के हैं जिन्हें regex से भी आसानी से पकड़ा जा सकता है, लेकिन इसे खुले local model के रूप में जारी किया गया, यह अच्छी बात है
    • अपने ग्राहकों के लिए मैं private email या phone number वेबसाइट पर न जाएँ, इसके लिए regular expressions से रोक लगाता हूँ
      फिर भी अतिरिक्त आश्वासन के लिए इस तरह का मॉडल साथ में चलाना ठीक लग रहा है
      server पर GPU नहीं है, लेकिन अगर एक बार में 2k tokens से कम हों, तो उम्मीद है कि यह इतना हल्का मॉडल होगा कि CPU-only inference पर भी चल सके
  • लिंक पर क्लिक करने पर OpenAI साइट के machine-translated version पर redirect हो जाता है, और अर्थ पूरी तरह बिगड़ गया है
    redacted को Polish के redagować की तरह अनुवाद किया गया, जबकि उसका मतलब anonymization नहीं, बल्कि टेक्स्ट को edit या refine करना होता है
  • सोच रहा हूँ कि regex और model को मिलाने वाले Presidio के मुकाबले यह कैसा होगा: https://microsoft.github.io/presidio/
    • लगता है इस मॉडल को Presidio के अंदर डालकर भी इस्तेमाल किया जा सकता है
  • https://peyeeye.ai इस thread में लोग जिन समस्याओं की बात कर रहे हैं, उन्हें शाब्दिक रूप से पूरी तरह हल करता है
    • दूसरों का डेटा बिना अनुमति scrape करने वाली कंपनी अगर privacy tool बनाए, तो उससे बड़ा irony क्या होगा
  • यह release स्वागतयोग्य है
    regulated industries के बाहर भी ऐसे models और practices रखने के बहुत कारण हैं, और सिद्धांततः EU AI Act की वजह से भी कुछ मामलों में यह ज़रूरी हो जाएगा
    मैंने https://grepture.com में specialized NER model के साथ redaction और rehydration पहले से जोड़ा हुआ है, इसलिए इसे भी pipeline में जोड़ने की सोच रहा हूँ
    अगर इसे विकल्प के तौर पर hot path में रखा जाए, ताकि LLM तक request पहुँचने से पहले और बाद के हिस्सों को वास्तव में संभाला जा सके, तो compliance या सीधे user input लेने वाले scenarios में यह काफ़ी उपयोगी होगा