跳转至

Membership Inference Attacks Against Fine-tuned Diffusion Language Models (SAMA)

会议: ICLR 2026
arXiv: 2601.20125
代码: https://github.com/Stry233/SAMA
领域: AI安全 / 隐私攻击
关键词: 成员推断攻击, 扩散语言模型, 隐私泄露, 鲁棒子集聚合, 渐进式掩码

一句话总结

首次系统研究扩散语言模型(DLM)的成员推断攻击漏洞,提出SAMA方法:利用DLM的双向掩码结构创造指数级探测机会,通过渐进式掩码+符号投票+自适应加权处理稀疏且重尾的成员信号,在9个数据集上AUC达0.81,比最优baseline高30%。

研究背景与动机

  1. 领域现状:扩散语言模型(DLM,如LLaDA/Dream)是自回归模型的新兴替代方案,使用双向掩码token预测。现有成员推断攻击(MIA)方法针对自回归模型设计,对DLM的隐私风险完全未知。
  2. 现有痛点
  3. 自回归MIA方法(Loss/Min-K%/ReCall等)直接应用于DLM效果近乎随机(AUC≈0.5)
  4. 图像扩散模型的MIA方法(SecMI/PIA)也不适用(AUC≤0.52)
  5. DLM的成员信号是配置依赖的——不同掩码配置下信号剧烈波动,样本内方差(σ≈0.10)大于成员/非成员边距(δ≈0.06)
  6. 域适应效应导致重尾噪声,均值聚合在极端值面前崩溃
  7. 核心矛盾:DLM的双向结构提供了指数级的探测机会,但信号极度稀疏且带重尾噪声
  8. 核心idea一句话:渐进式多密度掩码探测 + 符号投票去重尾噪声 + 自适应加权 = 鲁棒MIA

方法详解

整体框架

给定微调后DLM \(\mathcal{M}^T\) 和预训练参考 \(\mathcal{M}^R\),对目标文本 \(\mathbf{x}\):(1) 渐进式增加掩码密度(5%→50%),每步采样多个掩码配置 (2) 在每个配置上计算局部子集损失差并做符号投票 (3) 跨密度自适应加权得到最终成员分数 \(\phi \in [0,1]\)

关键设计

  1. DLM vs ARM的成员信号差异:
  2. ARM只有一种固定的左到右预测模式→单一攻击点
  3. DLM每个掩码配置 \(\mathcal{S}\) 都是独立探测:\(\Delta_{DF}(\mathbf{x};\mathcal{S}) = \ell_{DF}(\mathbf{x};\mathcal{S},\mathcal{M}^R) - \ell_{DF}(\mathbf{x};\mathcal{S},\mathcal{M}^T)\)

  4. 双向上下文还可以探测token间记忆关系(如同时掩码 \(x_i, x_j\) 测试pair记忆)

  5. 鲁棒子集聚合(核心贡献):

  6. 做什么:将稀疏噪声信号转化为鲁棒投票
  7. 核心思路:在掩码位置中随机采样N个局部子集(每个m=10 tokens),计算每个子集的损失差 \(\Delta^n\),转为二值 \(B^n = \mathbf{1}[\Delta^n > 0]\),对N个投票取平均
  8. 理论保证(Hodges-Lehmann定理):对非成员,\(B^n=1\) 的概率恰好0.5(无论噪声分布多极端);真成员信号一致推向1。即使方差无穷大,符号测试仍可靠

  9. 这是AUC提升20-30%的主要贡献

  10. 渐进式掩码:

  11. 做什么:在多个掩码密度水平上探测
  12. 掩码密度线性递增:\(\alpha_t = \alpha_{\min} + \frac{t-1}{T-1}(\alpha_{\max} - \alpha_{\min})\)
  13. 稀疏掩码:丰富上下文→信号强但聚合点少;密集掩码:聚合点多但个体信号弱+域噪声大

  14. 默认 \(T=16\) 步,\(\alpha \in [5\%, 50\%]\)

  15. 自适应加权:

  16. \(\text{Sama}(\mathbf{x}) = \sum_t w_t \hat{\beta}_t\)\(w_t = \frac{1/t}{\sum_i 1/i}\)
  17. 早期步(稀疏掩码)权重更高,因为信号更干净

损失函数 / 训练策略

  • 无需训练——纯推理时攻击方法
  • 每个样本16次查询(与baseline对齐),N=128子集,m=10 tokens/子集

实验关键数据

主实验:MIMIR基准9数据集

数据集 SAMA AUC 最优Baseline AUC TPR@1%FPR(SAMA) TPR@1%FPR(Baseline)
ArXiv 0.850 0.597 0.178 0.023
GitHub 0.876 0.743 0.259 0.154
HackerNews 0.657 0.575 0.027 0.013
PubMed 0.814 0.555
Wikipedia 0.790 0.653
平均 ~0.81 ~0.62

消融实验:各组件贡献

组件 AUC提升 说明
Baseline(Loss) ~0.50 随机
+参考模型校准 +0.09~0.19 隔离微调特异记忆
+渐进式掩码 +2~3% 多尺度信号
+鲁棒子集聚合 +20~30% 关键:符号投票处理重尾噪声
+自适应加权 +3~5% 最终细化

关键发现

  • 现有ARM MIA方法对DLM完全失效:AUC≈0.50,证实DLM需要专门的攻击方法
  • 符号投票是核心:贡献了20-30% AUC提升,因为Hodges-Lehmann定理保证对重尾噪声的鲁棒性
  • 低FPR下优势更明显:TPR@0.1%FPR提升高达14倍,对实际部署场景意义重大
  • 在LLaDA-8B和Dream-7B上均有效:跨架构泛化

亮点与洞察

  • 首个DLM隐私攻击研究:填补了一个重要空白——随着DLM日益流行(LLaDA/Dream),其隐私风险需要系统评估
  • 符号投票处理重尾噪声的优雅方案:将连续的噪声信号转为二值投票,利用符号统计的分布无关鲁棒性。这个技巧可迁移到任何重尾噪声场景
  • DLM的双向结构是双刃剑:提供更强的语言建模能力,但也创造了指数级的攻击面——每kind掩码配置都是一个独立的隐私探测通道

局限性 / 可改进方向

  • 灰盒假设:需要查询目标模型和参考模型的logits,黑盒场景不适用
  • 查询开销:16次查询/样本,对大规模审计有成本
  • 仅测试微调场景:预训练阶段的成员推断未探索
  • 防御方向:可以设计"掩码配置随机化"防御——故意在不同查询间注入配置噪声

相关工作与启发

  • vs Min-K%/ReCall(ARM MIA):这些方法依赖单一左到右预测模式,DLM的双向结构使其失效
  • vs SecMI(图像扩散MIA):图像扩散的连续降噪与文本扩散的离散掩码机制根本不同
  • vs Purifying LLMs(同会议):该论文后门净化发现后门在MLP中冗余编码,SAMA发现隐私信号在掩码配置中稀疏分布——两者揭示了不同安全维度的参数级特征

评分

  • 新颖性: ⭐⭐⭐⭐⭐ 首个DLM MIA研究+符号投票处理重尾噪声的创新组合
  • 实验充分度: ⭐⭐⭐⭐⭐ 9数据集×2模型×10+baseline×详尽消融
  • 写作质量: ⭐⭐⭐⭐⭐ 理论动机→方法→实验的逻辑链极度清晰
  • 价值: ⭐⭐⭐⭐⭐ 对DLM隐私风险评估和防御设计有直接指导意义