PANDORA’S WHITE-BOX: INCREASED TRAINING DATA LEAKAGE IN OPEN LLMS

研究背景

本研究聚焦于开源大型语言模型（LLMs）的隐私攻击问题。随着LLMs如ChatGPT的兴起，它们在全球范围内引起了广泛关注，同时也引发了对其商业化、经济影响、未来社会影响以及即时部署可能带来的实际安全风险的担忧。特别是，LLMs在处理敏感数据时的隐私风险，因为它们可能会泄露、重新识别、链接、推断和利用有关个人身份、位置、习惯和欲望的敏感信息。

过去方案和缺点

以往的研究尝试通过会员推断攻击（MIA）来展示LLMs的隐私泄露问题，即通过攻击者访问模型的能力来区分训练样本和测试样本。然而，这些尝试在预训练的LLMs上的表现并不理想，通常无法超越随机猜测的准确率。这可能是因为预训练过程中数据留下的印记不明显，以及训练和测试数据成员之间的相似性使得区分变得模糊。

本文方案和步骤

本文提出了三种新的白盒MIA攻击方法：基于梯度范数的攻击、监督神经网络分类器（NN），以及单步损失比率攻击。这些方法在预训练模型上的表现优于现有的黑盒基线，并缩小了LLMs与其他类型模型在MIA攻击成功率上的差距。在微调设置中，研究者发现，通过访问微调和基础模型的损失，可以实现接近完美的MIA性能。此外，研究者还利用这些MIA来从微调后的语言模型中提取微调数据。

本文创新点与贡献

• 提出了针对预训练LLMs的首个能够同时实现高真正率（TPR）和低假正率（FPR）的MIA攻击。

• 展示了在自然设置中，超过50%的微调数据集可以从微调后的LLM中提取。

• 提出了一种新的微调损失比率攻击（FLoRa），在微调设置中实现了接近完美的MIA性能。

• 通过生成-然后-排名的数据提取流程，证明了在微调后的数据集中可以有效地提取大量数据。

本文实验

实验评估了一系列隐私攻击在不同大小的Pythia模型上的性能，以及在Llama-7B和Llama-7B-chat模型上的微调数据提取。实验结果表明，提出的MIA攻击在预训练和微调设置中都取得了显著的性能提升。

实验结论

实验结果表明，提出的MIA攻击在预训练和微调的LLMs中都能有效工作，尤其是在微调模型中，通过FLoRa攻击可以几乎完美地执行MIA。此外，通过生成-然后-排名的方法，可以从微调模型中提取大量训练数据。

全文结论

本文的研究结果强调了在高度敏感的数据上微调LLMs时需要谨慎，因为这些模型可能会泄露大量训练数据。研究者建议在部署LLMs之前，应采取适当的隐私保护措施，以防止潜在的隐私泄露风险。

阅读总结报告

本研究深入探讨了开源大型语言模型在隐私保护方面的脆弱性，特别是在预训练和微调阶段。通过提出新的攻击方法，研究者不仅提高了MIA的准确性，还展示了如何从微调后的模型中提取大量训练数据。这些发现对于理解和改进LLMs的隐私保护措施具有重要意义，同时也为未来的研究提供了新的方向。研究者强调了在敏感数据上微调LLMs时需要采取的预防措施，以确保数据安全。