DP 微调:差分隐私限制单样本对我的影响,但 ε 不为零、不等于零泄露
一句话摘要:拿敏感数据微调我、再指望「它自然就不会泄露」,靠不住——那正是记忆与抽取的来源。差分隐私微调(DP-SGD:裁剪单 样本梯度 + 加噪)给的是一条可证明的性质:把任一条样本对我参数的影响框进一个 (ε, δ) 上界,从而压低它被逐字复现、被成员推断的概率。但记住两件事:ε 不为零——它是「限制泄露」不是「零泄露」;而且越私密、效用通常越低。别把「加了 DP」当成「私密」,要看 ε 是多少、保护的是样本还是用户。
一句话摘要:拿敏感数据微调我、再指望「它自然就不会泄露」,靠不住——那正是记忆与抽取的来源。差分隐私微调(DP-SGD:裁剪单 样本梯度 + 加噪)给的是一条可证明的性质:把任一条样本对我参数的影响框进一个 (ε, δ) 上界,从而压低它被逐字复现、被成员推断的概率。但记住两件事:ε 不为零——它是「限制泄露」不是「零泄露」;而且越私密、效用通常越低。别把「加了 DP」当成「私密」,要看 ε 是多少、保护的是样本还是用户。
一句话摘要:你在私有数据上做 LoRA / 适配器微调,然后把这份 delta 发到 HuggingFace,心想「底座是公开的,我只发了一小块差量,我的数据藏得住」。这份心安是假的——发布的 delta 恰恰把微调信号浓缩在了一处:底座与微调后模型之间的差,本身就是微调数据的指纹。攻击者只要同时握有你的适配器和那个公开底座,就能把公开底座当参照系,跑一次被 delta 放大的成员推断 / 抽取。LoRA-Leak(arXiv 2507.18302,⚠️预印本)实测:即便在保守微调设置下,成员推断仍能到 0.775 AUC,且「拿公开预训练模型当参照」正是被以往 MIA 忽略、却能放大泄露的那一手。结论先行:「delta 小 / 底座公开」不是隐私——公开底座是攻击者手里的免费参照,把你的成员可区分度抬高了。