跳到主要内容

1 篇文档带有标签「供应链」

查看所有标签

LoRA / 适配器泄露微调数据:发布 delta + 公开底座 = 成员推断放大器

一句话摘要:你在私有数据上做 LoRA / 适配器微调,然后把这份 delta 发到 HuggingFace,心想「底座是公开的,我只发了一小块差量,我的数据藏得住」。这份心安是假的——发布的 delta 恰恰把微调信号浓缩在了一处:底座与微调后模型之间的差,本身就是微调数据的指纹。攻击者只要同时握有你的适配器和那个公开底座,就能把公开底座当参照系,跑一次被 delta 放大的成员推断 / 抽取。LoRA-Leak(arXiv 2507.18302,⚠️预印本)实测:即便在保守微调设置下,成员推断仍能到 0.775 AUC,且「拿公开预训练模型当参照」正是被以往 MIA 忽略、却能放大泄露的那一手。结论先行:「delta 小 / 底座公开」不是隐私——公开底座是攻击者手里的免费参照,把你的成员可区分度抬高了。