2025-11-18T11:19:13.666890

Quantifying Information Disclosure During Gradient Descent Using Gradient Uniqueness

Abdelghafar, Aliakbarpour, Jermaine
Disclosing private information via publication of a machine learning model is often a concern. Intuitively, publishing a learned model should be less risky than publishing a dataset. But how much risk is there? In this paper, we present a principled disclosure metric called \emph{gradient uniqueness} that is derived from an upper bound on the amount of information disclosure from publishing a learned model. Gradient uniqueness provides an intuitive way to perform privacy auditing. The mathematical derivation of gradient uniqueness is general, and does not make any assumption on the model architecture, dataset type, or the strategy of an attacker. We examine a simple defense based on monitoring gradient uniqueness, and find that it achieves privacy comparable to classical methods such as DP-SGD, while being substantially better in terms of (utility) testing accuracy.
academic

تحديد الكشف عن المعلومات أثناء انحدار التدرج باستخدام تفرد التدرج

المعلومات الأساسية

  • معرّف الورقة: 2510.10902
  • العنوان: تحديد الكشف عن المعلومات أثناء انحدار التدرج باستخدام تفرد التدرج
  • المؤلفون: محمود عبدالغفار (جامعة رايس)، مريم علي أكبرپور (جامعة رايس)، كريس جيرمين (جامعة رايس)
  • التصنيف: cs.LG stat.ML
  • تاريخ النشر: 13 أكتوبر 2025
  • رابط الورقة: https://arxiv.org/abs/2510.10902v1

الملخص

يمثل نشر نماذج التعلم الآلي مخاطر خصوصية مهمة من خلال تسريب المعلومات الخاصة. بديهياً، يجب أن يكون نشر نموذج مدرب أقل خطورة من نشر مجموعة البيانات مباشرة، لكن ما حجم المخاطر بالضبط؟ تقترح هذه الورقة طريقة قياس الكشف القائمة على المبادئ الأساسية تسمى تفرد التدرج (Gradient Uniqueness, GNQ)، والتي تنبع من الاشتقاق الرياضي لحد أعلى لكمية الكشف عن المعلومات عند نشر نموذج التعلم. يوفر تفرد التدرج طريقة حدسية لتدقيق الخصوصية، مع اشتقاق رياضي عام لا يفترض أي افتراضات حول معمارية النموذج أو نوع مجموعة البيانات أو استراتيجية المهاجم. تُظهر الدراسة أن طرق الدفاع البسيطة المراقبة بواسطة GNQ يمكنها أن تضاهي الطرق الكلاسيكية مثل DP-SGD من حيث حماية الخصوصية، مع تحقيق أداء أفضل في دقة الاختبار.

خلفية البحث والدافع

المشكلة الأساسية

تتمثل المشكلة الأساسية التي يعالجها هذا البحث في: كيفية تحديد مخاطر تسريب الخصوصية أثناء نشر نماذج التعلم الآلي. بشكل محدد، عند استخدام الانحدار العشوائي للتدرج (SGD) لتدريب نموذج ونشر معاملات النموذج النهائية، كم من المعلومات حول بيانات التدريب يمكن للمهاجم استنتاجها؟

أهمية المشكلة

  1. الحاجة العملية ملحة: تكاليف تدريب أنظمة الذكاء الاصطناعي الحديثة (مثل نماذج اللغة الكبيرة) عالية جداً، والمنظمات غير راغبة في تعديل خوارزميات التدريب بشكل كبير من أجل حماية الخصوصية
  2. قيود الطرق الموجودة: بينما توفر الخصوصية التفاضلية (DP-SGD) ضمانات نظرية، فإنها تسبب ضرراً شديداً على أداء النموذج
  3. غياب وسائل التحديد الكمي: تعتمد الطرق الموجودة بشكل أساسي على تجارب الهجوم، وتفتقر إلى مؤشرات تحديد كمي لمخاطر الخصوصية مدعومة بنظرية

قيود الطرق الموجودة

  1. طرق الخصوصية التفاضلية متحفظة جداً: يتطلب DP-SGD إضافة ضوضاء وقص على كل تدرج، مما يؤدي إلى انخفاض شديد في أداء النموذج
  2. طرق التدقيق القائمة على الهجوم: تعتمد على استراتيجيات هجوم محددة، وتفتقر إلى العمومية والأساس النظري
  3. افتراضات الحالة الأسوأ: غالباً ما يعتمد التحليل النظري الموجود على افتراضات الحالة الأسوأ، وهو متشائم جداً في التطبيقات العملية

دافع البحث

الفكرة الأساسية للورقة هي: بما أن SGD نفسه يتمتع بالعشوائية، هل يمكننا الاستفادة من خاصية الحماية الخصوصية المدمجة هذه لتحديد المخاطر دون الحاجة إلى تعديل خوارزمية التدريب؟ هذا النهج يتوافق بشكل أفضل مع احتياجات التطبيقات العملية.

المساهمات الأساسية

  1. اقتراح مؤشر تفرد التدرج (GNQ): طريقة قياس مخاطر الخصوصية المشتقة من نظرية المعلومات، ترتبط بشكل رتيب بحد أعلى لتسريب المعلومات
  2. العمومية النظرية: الاشتقاق الرياضي لا يعتمد على معمارية النموذج أو نوع مجموعة البيانات أو استراتيجية المهاجم، مع قابلية تطبيق واسعة
  3. التحقق التجريبي: إثبات أن GNQ يمكنه التنبؤ بفعالية وتفسير معدل نجاح الهجمات المختلفة
  4. طريقة دفاع بسيطة وفعالة: إزالة نقاط البيانات عالية المخاطر بناءً على ترتيب GNQ، مما يوفر حماية الخصوصية مع الحفاظ على فائدة النموذج

شرح الطريقة

تعريف المهمة

بالنظر إلى مجموعة بيانات عامة D={dj}j=1ND = \{d_j\}_{j=1}^N، يتم أخذ عينة موحدة بدون استبدال للحصول على مجموعة تدريب خاصة DtD_t. يتم تدريب نموذج معاملات hθh_\theta باستخدام الانحدار العشوائي للتدرج، ويلاحظ المهاجم معاملات النموذج النهائية θNr\theta_{N_r}، والهدف هو استنتاج ما إذا كانت نقطة بيانات djd_j موجودة في مجموعة التدريب DtD_t.

تعريف تفرد التدرج

التعريف 1 (تفرد التدرج): بالنسبة لدفعة التدريب ii، يُعرّف تفرد التدرج لنقطة البيانات djd_j بالنسبة للدفعة ii على النحو التالي:

GNQij=gijTS+gij\text{GNQ}_{ij} = g_{ij}^T S^+ g_{ij}

حيث:

  • S=k=1,kjNgikgikTRNp×NpS = \sum_{k=1, k \neq j}^N g_{ik} g_{ik}^T \in \mathbb{R}^{N_p \times N_p}
  • S+S^+ تمثل الشبه معكوس Moore-Penrose
  • gij=θ[[θi,dj]]RNpg_{ij} = \nabla_\theta[\ell[\theta_i, d_j]] \in \mathbb{R}^{N_p} هو التدرج لدالة الخسارة عند نقطة البيانات djd_j

النتيجة النظرية الأساسية

النظرية (نسخة غير رسمية): يتم تحديد كمية المعلومات (بالبت) التي يمكن لأي مهاجم استخراجها من خلال فحص θNr\theta_{N_r} لتحديد djDtd_j \in D_t بواسطة دالة تزداد بشكل رتيب مع i=1Nr1GNQij\sum_{i=1}^{N_r-1} \text{GNQ}_{ij}.

الفهم الهندسي الحدسي

يمكن تمثيل حساب GNQ هندسياً على النحو التالي:

  1. بناء بيضاوي يلخص جميع التدرجات
  2. يقيس GNQij\text{GNQ}_{ij} مدى شذوذ تدرج نقطة البيانات djd_j بالنسبة للبيضاوي
  3. كلما كان التدرج أكثر "تفرداً" (انحرافاً عن اتجاه التدرجات الأخرى)، كلما كانت قيمة GNQ أعلى، وكانت مخاطر الخصوصية أكبر

نقاط الابتكار التقني

  1. الأساس النظري للمعلومات: يستند إلى نظرية المعلومات المتبادلة، مما يؤسس الربط الرياضي بين GNQ وحد أعلى لتسريب المعلومات
  2. عدم الاعتماد على الهجوم: لا يعتمد على طريقة هجوم محددة، ويوفر تقييماً عاماً لمخاطر الخصوصية
  3. التفسير الهندسي: من خلال التحليل الهندسي لفضاء التدرج، يوفر فهماً حدسياً للمخاطر
  4. الكفاءة الحسابية: يقترح تقنيات مثل التقريب القطري، مما يجعل الطريقة قابلة للتطبيق على النماذج الكبيرة

إعداد التجارب

مجموعات البيانات

  • MNIST: التعرف على الأرقام المكتوبة بخط اليد
  • CIFAR-10/100: تصنيف الصور الطبيعية
  • قاعدة بيانات AT&T للوجوه: التعرف على الوجوه
  • Tiny ImageNet: تصنيف الصور على نطاق واسع
  • IMDB: تحليل المشاعر

معمارية النموذج

  • MLP: شبكة متعددة الطبقات
  • CNN: شبكة عصبية تلافيفية
  • ResNet: شبكة متبقية (رؤية الحاسوب)
  • BERT: مصنف نصي قائم على Transformer

مؤشرات التقييم

  1. حماية الخصوصية: قيمة AUC ROC لهجوم الاستدلال على العضوية (MIA)
  2. فائدة النموذج: دقة مجموعة الاختبار
  3. هجوم إعادة البناء: جودة إعادة البناء لهجوم عكس النموذج

طرق المقارنة

  • الخط الأساسي: التدريب القياسي بدون حماية الخصوصية
  • DP-SGD: الانحدار العشوائي للتدرج بالخصوصية التفاضلية (ϵ{2,8,512}\epsilon \in \{2, 8, 512\})
  • القائم على GNQ: طريقة الدفاع القائمة على تفرد التدرج

نتائج التجارب

النتائج الرئيسية

يعرض الجدول 1 نتائج المقارنة بين طريقة تصفية GNQ و DP-SGD:

مجموعة البياناتالنموذجالإعدادAUC ROCدقة الاختبار
CIFAR10ResNetالخط الأساسي0.729480.80%
إزالة أعلى 10% GNQ0.512271.33%
DP-SGD (ε=2)0.500841.83%
CIFAR100ResNetالخط الأساسي0.875249.58%
إزالة أعلى 20% GNQ0.513734.92%
DP-SGD (ε=2)0.50156.83%

النتائج الرئيسية:

  1. تستطيع طريقة GNQ تقليل معدل نجاح هجوم MIA إلى مستوى التخمين العشوائي (AUC ≈ 0.5)
  2. عند نفس مستوى حماية الخصوصية، دقة النموذج لطريقة GNQ أعلى بكثير من DP-SGD
  3. بالنسبة إلى CIFAR100، تبلغ دقة DP-SGD 6.83% فقط، بينما تصل طريقة GNQ إلى 34.92%

GNQ كمؤشر للتنبؤ بمعدل نجاح الهجوم

يعرض الشكل 5 العلاقة بين GNQ ومعدل نجاح هجوم MIA عبر مجموعات بيانات مختلفة:

  • عبر جميع النماذج ومجموعات البيانات، يزداد معدل نجاح الهجوم مع زيادة قيمة GNQ
  • العينات ذات قيم GNQ الأعلى هي بالضبط العينات التي يكون الهجوم عليها أسهل
  • يثبت أن GNQ مؤشر فعال لمخاطر الخصوصية

تجارب هجوم إعادة البناء

أظهرت التجارب على قاعدة بيانات AT&T للوجوه:

  • بعد إزالة العينة ذات أعلى درجة GNQ، تنخفض جودة إعادة البناء لهجوم عكس النموذج بشكل ملحوظ
  • تنخفض دقة التحقق من 95.31% إلى 94.15% فقط، لكن تأثير حماية الخصوصية واضح

تأثير معاملات SGD على الخصوصية

يعرض الشكل 7 العلاقة بين معاملات التدريب المختلفة و GNQ ومعدل نجاح الهجوم:

  1. عدد جولات التدريب: المزيد من الجولات يؤدي إلى مخاطر خصوصية أعلى
  2. حجم مجموعة البيانات: مجموعات البيانات الأصغر تحمل مخاطر أعلى
  3. حجم النموذج: النماذج الأكبر عادة ما تحمل مخاطر أعلى
  4. حجم الدفعة: الدفعات الأصغر تزيد المخاطر
  5. معدل التعلم: معدل التعلم الأعلى قد يزيد المخاطر

الأعمال ذات الصلة

التدقيق القائم على الهجوم

  1. هجوم الاستدلال على العضوية بنموذج الظل: استخدام الاحتمالية اللاحقة للنموذج كميزة هجوم
  2. هجوم الصندوق الأبيض: الاستفادة من المعلومات الداخلية مثل التدرجات والقيم المنشطة
  3. هجوم قائم على الخسارة: استخدام خسارة النموذج عند النقاط المرشحة كمؤشر العضوية
  4. هجوم عكس التدرج: من خلال تحسين هدف إعادة البناء لاستعادة بيانات التدريب

تدقيق الخصوصية التفاضلية

تركز الطرق الموجودة بشكل أساسي على التحقق من ما إذا كانت تطبيقات DP تحقق مستويات الخصوصية المعلنة، بينما يحدد GNQ مخاطر الخصوصية لأي نموذج تدريب.

النسيان الآلي

يمكن لـ GNQ توجيه النسيان الحساس للمخاطر أثناء التدريب، والعمل كمؤشر مدمج لتدقيق التغييرات في المخاطر.

الخلاصة والمناقشة

الاستنتاجات الرئيسية

  1. يوفر GNQ طريقة تحديد كمي لمخاطر الخصوصية مدعومة بنظرية، بدون الاعتماد على استراتيجيات هجوم محددة
  2. طرق الدفاع البسيطة القائمة على GNQ تتفوق على DP-SGD في المقايضة بين الخصوصية والفائدة
  3. يمكن لـ GNQ شرح والتنبؤ بأنماط نجاح هجمات الخصوصية المختلفة

القيود

  1. الافتراضات النظرية: تعتمد على افتراضات مثل توزيع التدرج الغاوسي والارتباط الخطي للتدرجات
  2. التعقيد الحسابي: بالنسبة للنماذج الكبيرة، تتطلب طرق التقريب (مثل القطرية)
  3. طرق الدفاع البسيطة: تم النظر فقط في استراتيجية إزالة نقاط البيانات

الاتجاهات المستقبلية

  1. استراتيجيات دفاع أكثر دقة: بدلاً من إزالة نقاط البيانات بالكامل، إضافة كمية صغيرة من الضوضاء إلى تدرجات النقاط عالية المخاطر
  2. تطبيقات النسيان الآلي: يمكن لـ GNQ خدمة مجال النسيان الآلي الناشئ
  3. تحسين النماذج الكبيرة: تطوير طرق حساب GNQ أكثر كفاءة

التقييم المتعمق

المزايا

  1. الابتكار النظري قوي: أول ربط كمي بين الهندسة التدرجية وتسريب الخصوصية من منظور نظرية المعلومات
  2. القيمة العملية عالية: توفير طريقة تقييم الخصوصية بدون الحاجة إلى تعديل خوارزمية التدريب، وهو ما يتوافق مع احتياجات التطبيقات العملية
  3. العمومية جيدة: الطريقة لا تعتمد على معمارية نموذج محددة أو استراتيجية هجوم
  4. التجارب شاملة: التحقق من فعالية الطريقة عبر مجموعات بيانات ونماذج متعددة

أوجه القصور

  1. الافتراضات النظرية قوية: قد لا يكون افتراض التوزيع الغاوسي للتدرج صحيحاً في الممارسة العملية
  2. مشاكل قابلية التوسع: حتى مع استخدام طرق التقريب، قد تكون النفقات الحسابية كبيرة للنماذج الضخمة جداً
  3. استراتيجية دفاع واحدة: تم استكشاف طريقة دفاع واحدة فقط وهي إزالة البيانات
  4. ضمانات الخصوصية طويلة الأجل: غياب تحليل استمرارية حماية الخصوصية في البيئات الديناميكية

التأثير

  1. المساهمة النظرية: توفير أداة نظرية جديدة لحماية الخصوصية في التعلم الآلي
  2. التوجيه العملي: توفير طريقة تقييم مخاطر الخصوصية لأنظمة ML المنشورة فعلياً
  3. الإلهام البحثي: فتح اتجاه جديد لتحليل الخصوصية بناءً على ديناميكيات التدريب

السيناريوهات المناسبة

  1. أنظمة ML للمؤسسات: الحاجة إلى تقييم مخاطر الخصوصية دون تعديل كبير لعملية التدريب
  2. نشر النماذج مفتوحة المصدر: تقييم وتقليل مخاطر تسريب الخصوصية قبل نشر النموذج
  3. الامتثال التنظيمي: توفير أداة كمية لامتثال قوانين الخصوصية
  4. أداة البحث: توفير وسيلة تحليل جديدة لأبحاث حماية الخصوصية في التعلم الآلي

التقييم الشامل: هذه ورقة بحثية ذات قيمة نظرية وعملية مهمة في مجال حماية الخصوصية في التعلم الآلي. يملأ مفهوم تفرد التدرج المقترح في الورقة فجوة مهمة في الطرق الموجودة، ويوفر أداة تقييم مخاطر الخصوصية أكثر عملية للتطبيقات الفعلية. على الرغم من وجود بعض القيود في الافتراضات النظرية والتعقيد الحسابي، فإن ابتكارها وقيمتها العملية تجعلها مساهمة مهمة في هذا المجال.