超级会员免费看
文章主要内容和创新点总结
主要内容
本文聚焦于大型语言模型(LLMs)训练中的“数据集滥用”问题(即检测可疑模型是否使用了特定受害者数据集进行训练),提出了一种仅需黑盒访问权限(仅通过文本响应)的数据集推理方法。
-
问题背景:LLM训练常涉及个人信息或受版权保护的材料,引发隐私和法律争议(如《纽约时报》起诉OpenAI)。现有解决方案中,成员推理攻击(MIAs)因数据集规模扩大或数据分布独立同分布(IID)时准确率接近随机猜测而受限;现有数据集推理方法依赖灰盒访问(需中间输出如概率、损失值),实用性不足。
-
核心方法:通过构建两组参考模型(一组未使用受害者数据集D训练,另一组使用D微调),识别“污染样本”(tainted samples,即模型训练后对其响应与原始输出高度相似的样本),比较可疑模型与两组参考模型的相似度,判断可疑模型是否使用了D。
-
评估结果:在非IID设置下准确率达100%,IID设置下准确率极高;对重述响应、改变温度、移除污染样本等规避尝试具有鲁棒性(仅当训练样本少于50%时失效,作者认为此时已不属于数据集推理范畴)。
创新点
- 黑盒方法:无需模型中间输出,仅通过文本响应即可实现数据集推理,解决了现有方法依赖灰盒访问的实用性问题。
- 污染样本利用:提出“污染
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
