Empowering Your Cybersecurity, One Tool at a Time.
這篇論文真正值得看的,不是它再說一次 differential privacy 很重要,而是它把 LLM 隱私稽核拉回成可量測的工程流程:用 membership inference attack 當隱私 gauge、用 perplexity 當 utility gauge,持續調整 DP-SGD 直到兩邊都過線。更有意思的是,在狹窄且容易過擬合的微調情境下,DP 不只降低隱私風險,還可能順手壓住記憶化,讓模型的分布外效能反而更穩。
這篇論文真正有價值的地方,是把 synthetic trajectory 的常見幻覺拆開來看:很多研究一直在談 utility,卻沒有把 membership leakage 當成同等級風險正式驗證;作者不只整理 utility taxonomy,也證明某些看起來比較私密的模型仍可能在 membership inference 下高分失守。
這篇論文最值得記住的,不是它又提出一種 memorization 指標,而是它把一件很多人搞混的事拆開講清楚:differential privacy 與 membership inference 量的是 distinguishability,不是 LLM API 被抽出訓練文本的真實成本。作者提出 (l, b)-inextractability,把風險轉成攻擊者平均需要多少次查詢才能誘發受保護片段,並指出固定 greedy、固定 top-k 的舊量測方式很容易低估最壞情況。