跳到主要内容

2 篇文档带有标签「模型反演」

查看所有标签

拆分学习泄露:把模型切两半「原始数据留在本地」,服务器仍能从中间激活重建你的输入

一句话摘要:拆分学习把模型从某层切成两半——客户端跑前几层、把中间激活(smashed data)发给服务器跑剩下的——常被说成「原始数据不出本地,所以隐私」。结论先行:这不等于私有。Feature-Space Hijacking Attack(Pasquini 等,CCS 2021)证明,恶意服务器能主动把拆分模型引导进不安全状态,从中间激活重建出客户端的私有训练输入(在 MNIST / Omniglot / CelebA 上重建图像);UnSplit(Erdoğan 等,WPES@CCS 2022)更表明连诚实但好奇的服务器——只知客户端结构、不需主动干预——也能反演(MNIST / Fashion-MNIST / CIFAR-10 上重建 MSE ≈ 0.08–0.15)。别把「没传原始像素」当隐私。

模型反演与属性推断:靠查询与置信度,攻击者能重建训练样本的「样子」、或推断你的敏感属性

一句话摘要:除了「判定某人在不在训练集」(成员推断),推断类攻击还有两支更直接要命的:模型反演——靠反复查询 + 我吐出的置信度,重建出某个类别训练样本的「样子」(Fredrikson 等在 CCS 2015 上从人脸识别模型重建出可辨认的人脸);属性推断——给定一个人的部分已知信息 + 我,推断出他未公开的敏感属性(Fredrikson 等 2014 的华法林剂量案例)。结论先行:置信度 / 概率输出是燃料,而属性推断还借了人群统计相关性——别以为「没把原始数据发出去」就安全,要看输出粒度、是否叠 DP、以及类别是否对应到单个个体。