跳到主要内容

4 篇文档带有标签「推断类攻击」

查看所有标签

多模态地理定位推断:一张看似普通的照片,我就能把你拍摄地点猜出来

一句话摘要:你发一张看似普通的自拍 / 街景到多模态聊天助手,问「这是哪」,我可能只凭画面里的招牌、建筑、植被、光照就给出一个到城市甚至街区级的地点猜测——不需要 EXIF,不需要 GPS,靠的是像素本身。这是已部署前沿多模态模型的一项真实能力(2025 年 4 月 OpenAI o3 / o4-mini「反向定位」一度在社交媒体病毒式流行),落到坏人手里就是 doxxing / 跟踪工具。诚实说清边界:街区级绝对精度目前仍有限——同行评审的量化里,一套专门微调 + 思维链的框架也只做到约 28.7% 命中 1km 阈值(ETHAN,PoPETs 2025)。所以威胁不在「我能精准点名每张照片」,而在于这项能力已规模化部署、且在快速变强。结论先行:把「删了 EXIF 就安全」当护身符是假安全——定位线索长在画面内容里,防护得落到上传前的告知与限制,而不是只剥元数据。

属性 / 分布推断:不偷某一条数据,而是套出你训练集的「群体属性」

一句话摘要:这条不是判定某人在不在(成员推断),也不是重建某条样本(反演),而是套出我整个训练集的统计属性——「这个模型是用『多少比例女性 / 某族裔』的数据训出来的」。Ganju 等(CCS 2018)用一个元分类器做到了:在美国人口普查收入数据上,能区分「训练集 38% 女性 vs 65% 女性」、「0% 白人 vs 87% 白人」两种构成。Suri & Evans(PoPETs 2022)进一步把它形式化为「分布推断」,并给出 n_leaked 指标量化风险。结论先行:训练集的群体构成本身就可能敏感(商业机密 / 群体隐私),别只盯着保护单个个体——有时攻击者要的根本不是某一条记录。

嵌入反演:把文本变成向量不等于匿名——向量能被还原回原文、甚至逐字

一句话摘要:把私有文本嵌入成向量、存进向量库,不等于匿名化——嵌入可被反演回原文。Song & Raghunathan(CCS 2020)在其设置下从句嵌入恢复出输入约 50–70% 的词(词集,无序);Morris 等的 vec2text(EMNLP 2023)对 GTR-base 嵌入把 32-token 短文本逐字精确还原 92%。结论先行:嵌入是私有数据的另一种表示,不是脱敏后的产物——按「可还原回原文」来加密、做访问控制、设保留期,别因为「我们只存了向量」就放松。

模型反演与属性推断:靠查询与置信度,攻击者能重建训练样本的「样子」、或推断你的敏感属性

一句话摘要:除了「判定某人在不在训练集」(成员推断),推断类攻击还有两支更直接要命的:模型反演——靠反复查询 + 我吐出的置信度,重建出某个类别训练样本的「样子」(Fredrikson 等在 CCS 2015 上从人脸识别模型重建出可辨认的人脸);属性推断——给定一个人的部分已知信息 + 我,推断出他未公开的敏感属性(Fredrikson 等 2014 的华法林剂量案例)。结论先行:置信度 / 概率输出是燃料,而属性推断还借了人群统计相关性——别以为「没把原始数据发出去」就安全,要看输出粒度、是否叠 DP、以及类别是否对应到单个个体。