表格扩散模型中的隐私泄露:影响因素、攻击者知识与评估指标

arXiv cs.LG 论文

摘要

本研究论文探讨了表格扩散模型中的隐私泄露问题,量化了训练设置、合成选择以及攻击者知识对隐私风险的影响。研究发现,即使在没有完美知识或庞大资源的情况下,攻击者仍能成功实施攻击,并揭示了启发式隐私评估指标的潜在缺陷。

arXiv:2605.06835v1 公告类型:新论文 摘要:表格数据在许多领域和行业中发挥着重要作用,尤其是在那些对隐私考量和风险要求较高的领域。因此,人们越来越倾向于生成高质量的合成代理数据以替代真实的表格数据,从而降低隐私风险和专有数据的暴露。鉴于表格扩散模型(TDMs)在合成此类数据方面展现出领先的性能,理解和衡量这些模型相关的隐私风险变得至关重要。利用针对TDMs的最先进成员推理攻击(包括黑盒和白盒设置),本工作量化了训练设置、合成选择以及攻击者知识对隐私泄露的影响。此外,结果表明,攻击者无需对训练设置拥有完美知识、无需相同的数据分布或庞大的计算资源即可构建成功的攻击。最后,揭示了应用启发式隐私指标(如最近记录距离)所伴随的潜在问题。
查看原文
查看缓存全文

缓存时间: 2026/05/11 06:56

# 表格扩散模型中的隐私泄露:影响因素、攻击者知识与指标

来源:https://arxiv.org/html/2605.06835

Masoumeh Shafieinejad$^{1}$, D. B. Emerson$^{1,*}$, Behnoosh Zamanlooy$^{2,222}$, Elaheh Bassak$^{3,222}$, Fatemeh Tavakoli$^{1}$, Sara Kodeiri$^{1}$, Marcelo Lotif$^{1}$, Xi He$^{1,4}$

$^{1}$Vector Institute $^{2}$McMaster University $^{3}$University of Toronto $^{4}$University of Waterloo

\{masoumeh,david.emerson,fatemeh.tavakoli\}@vectorinstitute.ai \{sara.kodeiri,marcelo.lotif\}@vectorinstitute.ai [email protected] [email protected] [email protected]

###### 摘要

表格数据在许多领域和行业中发挥着重要作用,包括那些具有较高隐私考虑和风险的行业。因此,人们越来越有兴趣生成高质量的合成代理数据来替代真实的表格数据,以此作为降低隐私风险和专有数据暴露的手段。随着表格扩散模型(TDMs)在合成此类数据方面表现出领先的性能,理解并衡量与这些模型相关的隐私风险至关重要。利用针对TDMs的最先进成员推理攻击(Membership Inference Attacks, MIAs),在黑盒和白盒设置下量化了训练设置、合成选择以及攻击者知识对隐私泄露的影响。此外,结果表明,攻击者无需具备完美的训练设置知识、相同的数据分布或庞大的计算资源,即可构建成功的攻击。最后,揭示了应用启发式隐私指标(如距离最近记录)相关的陷阱。

## 1 引言

随着机器学习(ML)模型在社会各方面的重要性加速提升,利用先进模型生成结构化合成数据的兴趣也随之增加[25](https://arxiv.org/html/2605.06835#bib.bib77), [54](https://arxiv.org/html/2605.06835#bib.bib76), [19](https://arxiv.org/html/2605.06835#bib.bib75), [50](https://arxiv.org/html/2605.06835#bib.bib74)。由于表格数据在各行业中的普遍存在,它是最突出的模态之一。高保真数据合成有许多应用,包括训练数据增强[18](https://arxiv.org/html/2605.06835#bib.bib56), [14](https://arxiv.org/html/2605.06835#bib.bib81), [63](https://arxiv.org/html/2605.06835#bib.bib80), [28](https://arxiv.org/html/2605.06835#bib.bib79), [12](https://arxiv.org/html/2605.06835#bib.bib78),提高模型鲁棒性[5](https://arxiv.org/html/2605.06835#bib.bib82), [61](https://arxiv.org/html/2605.06835#bib.bib83), [44](https://arxiv.org/html/2605.06835#bib.bib84), [39](https://arxiv.org/html/2605.06835#bib.bib85),以及探索假设性或新颖的情况。然而,对合成表格数据感兴趣的主要驱动因素之一是其作为真实数据代理的潜力,且隐私风险较低。在许多场景中,现有和新兴的隐私法规,如GDPR、HIPAA和PIPEDA[17](https://arxiv.org/html/2605.06835#bib.bib51), [42](https://arxiv.org/html/2605.06835#bib.bib44), [55](https://arxiv.org/html/2605.06835#bib.bib52),规范敏感信息和数据集的收集、使用及发布。此外,许多机构严格管理与隐私泄露或数据滥用相关的内部风险。因此,合成生成的数据被视为解决隐私风险的一种前景方案。

虽然合成数据具有许多优势并能增加隐私泄露的障碍,但它本身并不具备隐私保护特性[52](https://arxiv.org/html/2605.06835#bib.bib3),这激发了大量关于隐私保护合成生成和隐私审计技术的研究[51](https://arxiv.org/html/2605.06835#bib.bib25), [31](https://arxiv.org/html/2605.06835#bib.bib86), [59](https://arxiv.org/html/2605.06835#bib.bib87), [47](https://arxiv.org/html/2605.06835#bib.bib88), [22](https://arxiv.org/html/2605.06835#bib.bib89)。最近的工作表明,表格扩散模型(TDMs)在多项指标上实现了表格合成的领先性能[40](https://arxiv.org/html/2605.06835#bib.bib6), [32](https://arxiv.org/html/2605.06835#bib.bib16), [49](https://arxiv.org/html/2605.06835#bib.bib57)。尽管一些研究认为扩散模型对过拟合具有鲁棒性[6](https://arxiv.org/html/2605.06835#bib.bib58),但其他工作显示TDMs仍然会泄露信息[58](https://arxiv.org/html/2605.06835#bib.bib59),有时泄露率甚至高于其基于GAN的对应模型[67](https://arxiv.org/html/2605.06835#bib.bib60)。差分隐私(DP)训练可以降低隐私风险[29](https://arxiv.org/html/2605.06835#bib.bib63), [4](https://arxiv.org/html/2605.06835#bib.bib64),但往往伴随着巨大的效用和效率权衡,特别是在没有大规模公共预训练的情况下[13](https://arxiv.org/html/2605.06835#bib.bib61), [35](https://arxiv.org/html/2605.06835#bib.bib62), [67](https://arxiv.org/html/2605.06835#bib.bib60)。因此,识别和量化影响TDMs中隐私泄露的机制对于指导此类模型的实际和安全使用至关重要。

在这项工作中,针对TDMs的最先进成员推理攻击(MIAs)被用作量化隐私泄露的视角。这类攻击已成为ML模型的主要隐私审计技术[7](https://arxiv.org/html/2605.06835#bib.bib21), [24](https://arxiv.org/html/2605.06835#bib.bib28), [37](https://arxiv.org/html/2605.06835#bib.bib32), [45](https://arxiv.org/html/2605.06835#bib.bib30), [51](https://arxiv.org/html/2605.06835#bib.bib25)。此外,成功的MIAs可用于构建更深入的隐私攻击[46](https://arxiv.org/html/2605.06835#bib.bib65), [3](https://arxiv.org/html/2605.06835#bib.bib66)。利用领先的白盒和黑盒MIAs,本研究调查了训练选择、架构配置和生成决策对隐私泄露的影响。此外,还考察了攻击者知识、计算能力和数据访问对MIA成功的影响。最后,将距离最近记录(Distance-to-Closest Record, DCR)[34](https://arxiv.org/html/2605.06835#bib.bib24)及其他广泛使用的伪隐私指标在识别隐私风险上升或下降方面的有效性,与MIAs进行了比较。

结果表明,某些传统杠杆(如训练步数或数据集大小)对TDMs的隐私仍然重要。其他因素则取决于MIA技术,这加强了建模多种方法的必要性,而有些因素则出奇地不重要。我们还表明,即使攻击者计算能力有限、知识不完美或数据受损,此类模型仍然极易受到攻击。最后,实验证明了伪隐私指标(如DCR)与MIA成功之间复杂且不可靠的关系。例如,在某些设置下,DCR非常适合估计上升的MIA风险,而在其他情况下则完全失效。这些发现对TDMs的实际应用具有广泛影响,并强调了在合成数据生成中MIA审计的重要性。

## 2 相关工作

MIAs已被确立为量化用于训练ML模型的数据的隐私风险的基础技术[51](https://arxiv.org/html/2605.06835#bib.bib25), [24](https://arxiv.org/html/2605.06835#bib.bib28), [45](https://arxiv.org/html/2605.06835#bib.bib30), [37](https://arxiv.org/html/2605.06835#bib.bib32), [8](https://arxiv.org/html/2605.06835#bib.bib31), [7](https://arxiv.org/html/2605.06835#bib.bib21)。扩散模型的成功推动了专为这类模型设计的MIAs的进步[15](https://arxiv.org/html/2605.06835#bib.bib34)。特别是,针对TDMs的MIAs有了显著增长。成功的、与模型无关的黑盒方法包括DOMIAS[56](https://arxiv.org/html/2605.06835#bib.bib22)、RMIA[65](https://arxiv.org/html/2605.06835#bib.bib92)、EPT[21](https://arxiv.org/html/2605.06835#bib.bib67)以及其他方法[58](https://arxiv.org/html/2605.06835#bib.bib59), [43](https://arxiv.org/html/2605.06835#bib.bib26)。在白盒设置中,SecMI方法[15](https://arxiv.org/html/2605.06835#bib.bib34)已适用于表格模型[9](https://arxiv.org/html/2605.06835#bib.bib68), [60](https://arxiv.org/html/2605.06835#bib.bib37), [62](https://arxiv.org/html/2605.06835#bib.bib49)。在这项工作中,我们专注于来自MIDST挑战赛[48](https://arxiv.org/html/2605.06835#bib.bib33)的最先进方法,确保实验框架利用白盒和黑盒设置中的强有力MIA。

一些现有工作考虑了影响更广泛ML模型和特定控制设置下表格数据生成模型MIA成功率和效用的因素。Salem等人[45](https://arxiv.org/html/2605.06835#bib.bib30)提出dropout和模型堆叠作为对抗分类模型MIAs的防御措施。在那里,对于研究的简单模型类,表明影子模型无需具有相同的架构或数据分布即可成功进行MIA。另一项研究[23](https://arxiv.org/html/2605.06835#bib.bib35)调查了输入输出比对合成数据的统计相似性和预测效用的影响。在[26](https://arxiv.org/html/2605.06835#bib.bib36)中,过拟合被检查为不同模型(包括基于GAN和VAE的模型)MIA成功的关键驱动因素。提供了现有防御的分类法,其中大多数生成模型的防御措施属于DP技术。他们还表明,传统的抗过拟合方法并不一定足够。最后,对于简单的分类模型,研究表明训练数据多样性起着重要作用,MIA成功率随着训练数据的增长而下降[51](https://arxiv.org/html/2605.06835#bib.bib25)。

目前的工作专注于影响TDMs中隐私泄露的广泛机制和攻击体制,远远超出了以前的研究。几项研究调查了一般ML模型背景下DP和MIA成功之间的相互作用。理论结果表明,小$\epsilon$ DP为MIA成功率提供了上限[16](https://arxiv.org/html/2605.06835#bib.bib69), [64](https://arxiv.org/html/2605.06835#bib.bib70),而实证研究表明,较大的$\epsilon$值提供实际的MIA保护[36](https://arxiv.org/html/2605.06835#bib.bib71), [30](https://arxiv.org/html/2605.06835#bib.bib72)。在[27](https://arxiv.org/html/2605.06835#bib.bib20)中,调查了数据依赖对DP保护ML分类器数据免受MIA成功的影响。结果表明,由于数据分布的相关性,DP不能完全防止MIA。虽然DP可以提供隐私泄露保护,但它也可能显著降低扩散模型中合成数据的质量[67](https://arxiv.org/html/2605.06835#bib.bib60)。此外,理解减少TDMs中泄露的机制(如本文所做的那样)提供了一条路径,即结合高$\epsilon$ DP的好处与这些杠杆,以最小化隐私风险同时保持最大效用。

训练决策和攻击者配置对合成数据隐私风险代理指标的影响,尤其是基于距离的度量,已在TDMs中得到考虑。[20](https://arxiv.org/html/2605.06835#bib.bib55)中的实验调查了训练轮数、数据集大小和模型类型等因素对NNDR[53](https://arxiv.org/html/2605.06835#bib.bib73)阈值形式的影响。其他工作考察了DCR是否是此类模型隐私风险的忠实指标[62](https://arxiv.org/html/2605.06835#bib.bib49)。结果表明,对于有限的设置,基于DCR的测试未能揭示MIA发现的泄露。本工作中的实验在几个方向上显著扩展了这些研究。我们调查了多种设置下几种启发式隐私指标与MIA成功之间的关系,揭示了一种复杂且不可靠的关系,其中在某些设置下这些指标反映上升的隐私风险,而在其他情况下则严重失效。此外,探索了模型训练、攻击配置和对手知识对MIA成功的影响。最后,考虑了其他不需要内部参数的黑盒MIAs。

## 3 方法论

本研究专注于单表合成和ClavaDDPM模型[40](https://arxiv.org/html/2605.06835#bib.bib6),这是TabDDPM[32](https://arxiv.org/html/2605.06835#bib.bib16)的最先进改编版本,代表了数据空间扩散生成器。评估隐私的主要视角是MIAs。给定一组数据点和一个训练好的目标模型,MIA的目标是准确区分属于模型训练数据集的点和不属于的点。在合成数据领域,这类方法通常分为两大类:白盒攻击和黑盒攻击。黑盒攻击严格在目标模型的合成输出上操作,可能访问相关的公共数据。另一方面,白盒攻击被赋予完全模型访问权限,包括权重。实验采用来自MIDST挑战赛[48](https://arxiv.org/html/2605.06835#bib.bib33)的Tartan Federer (TF)[60](https://arxiv.org/html/2605.06835#bib.bib37)和Ensemble[33](https://arxiv.org/html/2605.06835#bib.bib90)方法。TF方法在白盒和黑盒设置中均赢得了比赛,而Ensemble技术在黑盒攻击中排名第二。$^{1,1}$模型训练和攻击代码:https://github.com/VectorInstitute/midst-toolkit

Ensemble和TF攻击在本质上有所不同。Ensemble方法结合了几种传统的基于距离的方法、DOMIAS中的概率质量估计以及RMIA中的成对似然比检验。该方法仅需要访问由目标模型生成的合成数据以及作为参考的真实且分布相似的背景数据。因此,它不直接绑定于扩散架构。然而,其成功可能严重依赖辅助数据的可用性。或者,无论是作为黑盒还是白盒攻击应用,TF方法都专门针对扩散模型定制并适应SecMI算法。简要来说,给定数据点$x_0$,产生时间步$t$处噪声样本的前向过程,使得$x_t = \sqrt{\alpha_t}x_0 + \sqrt{1-\alpha_t}\epsilon$对于某些采样的高斯噪声$\epsilon \sim \mathcal{N}(0, I)$,以及预测并移除$x_t$中噪声的后向过程模型$m_\theta(x_t, t)$,TF攻击提取候选$x_0$的损失值 $\| (m_\theta(x_t, t) - x_0) - \epsilon \|_2^2$ 跨越广泛的$\epsilon$和$t$值。利用影子模型,这些损失值用于训练密集神经网络(DNN)以进行成员分类。在白盒设置中,目标模型在推理时直接可用于生成此类损失值。对于黑盒攻击,通过在目标模型的合成数据上训练影子模型来构建代理,然后从中提取损失值。

### 3.1 攻击设置和指标

对于给定数据集$\mathcal{D}$,点被分为两个子集。第一个,表示为$\mathcal{D}_t = \bigcup_{i=1}^{n_t} \{\mathcal{D}_t^i\}$,用于训练一组目标模型 $\{m_\theta^i\}_{i=1}^{n_t}$。

相似文章

离散扩散语言模型上的成员推断攻击

arXiv cs.LG

本文研究了针对微调掩码扩散语言模型(MDLMs)的成员推断攻击(MIA)。提出了一种白盒攻击,利用模型在不同掩码比率下的重构损失构建46维特征向量,取得了较高的AUC分数,表明MDLMs的脆弱性超出先前预期。

MosaicLeaks:深度研究代理在公开查询中的隐私风险

arXiv cs.CL

介绍了MosaicLeaks,一个包含1,001个多跳深度研究任务的基准测试,这些任务将私有企业文档与公共网络查询串联起来,用于评估隐私泄露。研究发现,模型在多个级别上泄露敏感信息,并提出了PA-DR,一种强化学习框架,能够在提高任务准确性的同时减少隐私泄露。

基于交互式定向广告的属性推断

arXiv cs.AI

本文建模了交互式定向广告如何通过可观察的用户交互泄露用户属性信息,并在合成数据上评估了贝叶斯、监督学习及其他攻击方法,同时讨论了作为防御手段的披露控制措施。

恢复扩散策略中的隐藏奖励

Hugging Face Daily Papers

本论文探讨了在基于扩散的策略中恢复隐藏奖励的方法,旨在提高此类模型的对齐程度或效率。