VaultGemma：全球最强大的差分隐私大型语言模型

# VaultGemma：世界上功能最强大的差分隐私大语言模型 来源：https://research.google/blog/vaultgemma-the-worlds-most-capable-differentially-private-llm/ 随着人工智能越来越融入我们的生活，以隐私为核心来构建AI是该领域的一个关键前沿。[差分隐私](https://en.wikipedia.org/wiki/Differential_privacy)（DP）通过添加校准噪声来防止记忆化，提供了一个数学上可靠的解决方案。然而，将DP应用于大语言模型会带来权衡。理解这些权衡至关重要。应用DP噪声改变了[传统的缩放法则](https://arxiv.org/abs/2203.15556)——描述性能动态的规则——通过降低训练稳定性（模型持续学习而不会经历诸如损失尖峰或发散等灾难性事件的能力），并显著增加批大小（同时发送到模型的一组训练样本）和计算成本。 我们的新研究["差分隐私语言模型的缩放法则"](https://arxiv.org/abs/2501.18914)与Google DeepMind合作进行，建立了准确模拟这些复杂性的法则，提供了计算-隐私-效用权衡的完整图景。在这项研究的指导下，我们很高兴地推出VaultGemma，这是最大的（10亿参数）从头开始用差分隐私训练的开源模型。我们在[Hugging Face](https://huggingface.co/google/vaultgemma-1b)和[Kaggle](https://www.kaggle.com/models/google/vaultgemma)上发布了权重，并附带[技术报告](https://services.google.com/fh/files/blogs/vaultgemma_tech_report.pdf)，以推进下一代隐私AI的发展。 ## 理解缩放法则 通过精心设计的实验方法，我们旨在量化在DP训练背景下增加模型大小、批大小和迭代次数的好处。我们的工作需要做出一些简化假设来克服可能考虑尝试的组合数量的指数增长。我们假设模型的学习效果主要取决于"噪声-批比例"，它比较了我们为隐私添加的随机噪声量与我们用于训练的数据组（批）的大小。这个假设之所以有效，是因为我们添加的隐私噪声远大于从数据采样产生的任何自然随机性。 为了建立DP缩放法则，我们进行了一套全面的实验，以评估各种模型大小和噪声-批比例下的性能。所得的实证数据，加上其他变量之间已知的确定性关系，使我们能够回答各种有趣的缩放法则问题，例如："给定计算预算、隐私预算和数据预算，实现最低可能训练损失的最优训练配置是什么？" ## 关键发现：强大的协同作用 在深入研究完整的缩放法则之前，从隐私计算角度理解计算预算、隐私预算和数据预算之间的动态和协同作用是有用的——即理解这些因素如何影响固定模型大小和迭代次数的噪声-批比例。这种分析成本显著更低，因为它不需要任何模型训练，但它产生了许多有用的见解。例如，孤立地增加隐私预算会导致收益递减，除非配合相应增加计算预算（[FLOP](https://en.wikipedia.org/wiki/Floating_point_operations_per_second)）或数据预算（令牌）。 为了进一步探索这种协同作用，下面的可视化显示了最优训练配置如何根据不同的约束而变化。随着隐私和计算预算的变化，注意推荐如何在投资更大的模型与使用更大的批大小或更多迭代次数进行训练之间转变。 这些数据为实践者提供了大量有用的见解。虽然所有见解都在论文中报告，但一个关键发现是应该用远大的批大小训练小得多的模型，而不是没有DP时使用的配置。对于DP专家来说，这个一般的见解应该是不足为奇的，因为大批大小的重要性。虽然这个一般见解在许多设置中都适用，但最优训练配置确实随着隐私和数据预算而变化。理解确切的权衡对于确保在实际训练场景中明智地使用计算和隐私预算至关重要。上述可视化还显示，训练配置中经常存在调整空间——即，如果与正确数量的迭代和/或批大小配对，一系列模型大小可能提供非常相似的效用。 ## 应用缩放法则构建VaultGemma [Gemma](https://deepmind.google/models/gemma/)模型设计时以责任和安全为核心。这使它们成为开发生产质量、DP训练模型（如VaultGemma）的自然基础。 ### 算法进步：大规模训练 我们上面推导的缩放法则代表了朝着用DP训练有用的Gemma模型迈出的重要第一步。我们使用缩放法则来确定训练计算最优的10亿参数Gemma 2基础DP模型所需的计算量，以及如何在批大小、迭代和序列长度之间分配该计算以实现最佳效用。 缩放法则背后的研究与VaultGemma的实际训练之间的一个显著差距是我们对[泊松采样](https://en.wikipedia.org/wiki/Poisson_sampling)的处理，这是[DP-SGD](https://arxiv.org/abs/1607.00133)的一个中心组成部分。我们最初使用了一种直接的方法来加载均匀批次的数据，但后来转向泊松采样，以最少的噪声获得最佳隐私保证。这种方法带来了两个主要挑战：它创建了不同大小的批，并且它需要特定的、随机化的数据处理顺序。我们通过使用我们最近的[可扩展DP-SGD](https://arxiv.org/abs/2411.04205)工作解决了这个问题，该工作允许我们以固定大小的批处理数据——通过添加额外的填充或修剪——同时仍然保持强大的隐私保护。 ## 结果 借助我们新的缩放法则和先进的训练算法，我们构建了VaultGemma，迄今为止最大的（10亿参数）用差分隐私完全预训练的开源模型，采用了能产生高效用模型的方法。 从训练VaultGemma，我们发现我们的缩放法则非常准确。VaultGemma的最终训练损失与我们的方程预测的结果惊人地接近，验证了我们的研究，并为社区提供了未来隐私模型开发的可靠路线图。 我们还将我们的模型的下游性能与其非隐私对应物进行了比较，跨越一系列标准学术基准（即[HellaSwag](https://arxiv.org/abs/1905.07830)、[BoolQ](https://arxiv.org/abs/1905.10044)、[PIQA](https://arxiv.org/abs/1911.11641)、[SocialIQA](https://arxiv.org/abs/1904.09728)、[TriviaQA](https://arxiv.org/abs/1705.03551)、[ARC-C](https://arxiv.org/abs/1911.01547)、[ARC-E](https://arxiv.org/abs/1911.01547)）。为了将这个性能放在上下文中并量化隐私目前所需的资源投入，我们还包括与一个类似大小的较早GPT-2模型的比较，它在这些基准上表现相似。这个比较说明了当今的隐私训练方法产生的模型效用与大约5年前的非隐私模型相当，突出了我们的工作将帮助社区系统地缩小的重要差距。 最后，该模型带来了强大的理论和实证隐私保护。 ### 正式隐私保证 一般来说，隐私参数（ε、δ）和隐私*单位*在进行DP训练时都是重要考虑因素，因为这些共同决定了训练模型能学到什么。VaultGemma使用*序列*级别DP保证（ε ≤ 2.0，δ ≤ 1.1e-10）进行训练，其中序列由从异构数据源提取的1024个连续令牌组成。具体来说，我们使用了与[Gemma 2](https://arxiv.org/abs/2408.00118)模型训练相同的训练混合，由许多不同长度的文档组成。在预处理期间，长文档被分割并标记为多个序列，而较短的文档被打包成单个序列。虽然序列级隐私单位对于我们的训练混合是自然选择，但在存在数据与用户之间明确映射的情况下，[用户级差分隐私](https://research.google/blog/fine-tuning-llms-with-user-level-differential-privacy/)会是更好的选择。 这在实践中意味着什么？非正式地说，因为我们在序列级别提供保护，如果与任何（潜在的私密的）事实或推断相关的信息出现在单个序列中，那么VaultGemma本质上不知道该事实：对任何查询的响应在统计上将类似于从从未训练过该序列的模型得到的结果。然而，如果许多训练序列包含与特定事实相关的信息，那么一般来说VaultGemma将能够提供该信息。 ### 实证记忆化 为了补充我们的序列级DP保证，我们进行了额外的测试来检查训练模型的实证隐私属性。为此，我们用来自训练文档的50令牌前缀提示模型，看它是否会生成相应的50令牌后缀。VaultGemma 1B显示其训练数据没有可检测的记忆化，并成功演示了DP训练的有效性。 ## 结论 VaultGemma代表了在建立既强大又以隐私为设计中心的AI的过程中迈出的重大一步。通过开发和应用对DP缩放法则的新的、稳健的理解，我们成功训练并发布了迄今为止最大的开源、DP训练语言模型。 虽然DP训练和非DP训练模型之间仍然存在效用差距，但我们相信这个差距可以通过在DP训练机制设计上的更多研究而系统地缩小。我们希望VaultGemma及其随附的研究将使社区能够为每个人构建下一代安全、负责任和隐私保护的AI。 ## 致谢 *我们要感谢整个Gemma和Google隐私团队在整个项目中的贡献和支持，特别是Peter Kairouz、Brendan McMahan和Dan Ramage对博客文章的反馈，Mark Simborg和Kimberly Schwede对可视化的帮助，以及Google的团队在算法设计、基础设施实现和生产维护中提供的帮助。以下人员直接为这里呈现的工作做出了贡献（按字母顺序）：Borja Balle、Zachary Charles、Christopher A. Choquette-Choo、Lynn Chua、Prem Eruvbetine、Badih Ghazi、Steve He、Yangsibo Huang、Armand Joulin、George Kaissis、Pritish Kamath、Ravi Kumar、Daogao Liu、Ruibo Liu、Pasin Manurangsi、Thomas Mesnard、Andreas Terzis、Tris Warkentin、Da Yu和Chiyuan Zhang。*