跳到主要内容

1 篇文档带有标签「数据投毒」

查看所有标签

隐私定向投毒:往训练集掺一点「毒」,能放大对其他人的隐私泄露

一句话摘要:投毒不只是「破坏完整性」的安全问题——它也是隐私问题。Tramèr 等(Truth Serum, CCS 2022)证明:往训练集里掺极少量(< 0.1%)精心构造的投毒样本,能把对别的、没被投毒的记录的成员推断 / 属性推断 / 数据抽取成功率拉高 1–2 个数量级;他们的标志性数字是——只插入 8 条投毒样本进 CIFAR-10(占全集 0.03%),就能把某张目标图像的成员推断真正例率(TPR)从 7% 抬到 59%(FPR 0.1% 处)。而 web 级语料投毒便宜可行:买过期域名做「分裂视图」,约 \$60 就能控制 LAION-400M 的约 0.01%(Carlini 等,S&P 2024——这是可行性佐证,本身不是一次隐私泄露结果)。结论先行:训练数据完整性 = 隐私问题;不可信的数据源是隐私放大器。