2025-11-20T13:58:15.370121

Personal Attribute Leakage in Federated Speech Models

Al-Ali, Ghavamipour, Caselli et al.
Federated learning is a common method for privacy-preserving training of machine learning models. In this paper, we analyze the vulnerability of ASR models to attribute inference attacks in the federated setting. We test a non-parametric white-box attack method under a passive threat model on three ASR models: Wav2Vec2, HuBERT, and Whisper. The attack operates solely on weight differentials without access to raw speech from target speakers. We demonstrate attack feasibility on sensitive demographic and clinical attributes: gender, age, accent, emotion, and dysarthria. Our findings indicate that attributes that are underrepresented or absent in the pre-training data are more vulnerable to such inference attacks. In particular, information about accents can be reliably inferred from all models. Our findings expose previously undocumented vulnerabilities in federated ASR models and offer insights towards improved security.
academic

تسرب السمات الشخصية في نماذج الكلام الموزعة

المعلومات الأساسية

  • معرّف الورقة: 2510.13357
  • العنوان: تسرب السمات الشخصية في نماذج الكلام الموزعة
  • المؤلفون: حمدان العلي، علي رضا غوامي بور، توماسو كاسيلي، فاتح تركمن، زيراك تلعت، حنان الدرمكي
  • التصنيف: cs.CL cs.AI
  • تاريخ النشر: 15 أكتوبر 2025 (نسخة أولية من arXiv)
  • رابط الورقة: https://arxiv.org/abs/2510.13357v1

الملخص

يعتبر التعلم الموزع طريقة شائعة لحماية الخصوصية في تدريب نماذج التعلم الآلي. تحلل هذه الورقة ضعف نماذج التعرف على الكلام (ASR) في البيئات الموزعة تجاه هجمات استدلال السمات. اختبر الباحثون طرق هجوم صندوق أبيض غير معاملي تحت نموذج تهديد سلبي على ثلاثة نماذج ASR (Wav2Vec2 و HuBERT و Whisper). يعمل الهجوم فقط على أساس الفروقات في الأوزان، دون الحاجة إلى الوصول إلى الكلام الأصلي للمتحدث المستهدف. تثبت الدراسة جدوى الهجمات على السمات الديموغرافية والسريرية الحساسة (الجنس والعمر واللهجة والعاطفة واضطراب النطق). تكتشف الدراسة أن السمات الممثلة بشكل ناقص أو الغائبة في بيانات التدريب المسبق أكثر عرضة لهذه الهجمات الاستدلالية. وبشكل خاص، يمكن استدلال معلومات اللهجة بشكل موثوق من جميع النماذج.

خلفية البحث والدافع

تعريف المشكلة

  1. المشكلة الأساسية: هل نماذج ASR في البيئات التعلم الموزع تسرب السمات الشخصية الحساسة للمستخدمين من خلال تحديثات أوزان النموذج؟
  2. تهديدات الخصوصية: تحتوي بيانات الكلام على معلومات شخصية غنية، بما في ذلك الخصائص الديموغرافية (الجنس والعمر واللهجة) والحالات السريرية (اضطرابات النطق) وحالات العاطفة

تحليل الأهمية

  1. الامتثال القانوني: قد يؤدي تسرب السمات إلى انتهاك اللائحة العامة لحماية البيانات (GDPR) و HIPAA وقوانين مكافحة التمييز الأمريكية والأوروبية
  2. حماية الخصوصية: تحمي قانون الأمريكيين ذوي الإعاقة (ADA) الأشخاص ذوي الإعاقة من التمييز، وتسرب معلومات اضطرابات الكلام له عواقب وخيمة
  3. التهديد العملي: حتى بدون تسرب الهوية، فإن تسرب السمات وحده مثل اللهجة أو الحالة العاطفية يشكل انتهاكاً خطيراً للخصوصية

قيود الطرق الموجودة

  1. افتراضات التعلم الموزع: على الرغم من أن التعلم الموزع يحسن الخصوصية بالحفاظ على الصوت الأصلي على الجهاز، فإن تحديثات النموذج قد تسرب معلومات حساسة
  2. الفجوة البحثية: ركزت الأعمال السابقة بشكل أساسي على إعادة تحديد المتحدثين وهجمات استدلال العضوية، لكن نطاق تسرب السمات لم يتم استكشافه بشكل كافٍ
  3. نموذج التهديد: نقص الدراسات المنهجية حول استدلال السمات من خلال تحديثات الأوزان فقط

المساهمات الأساسية

  1. أول دراسة منهجية شاملة: أول تحليل شامل لضعف تسرب السمات الشخصية في نماذج ASR الموزعة
  2. تقييم متعدد السمات: تقييم ثلاثة نماذج ASR رائدة على خمس سمات حساسة (الجنس والعمر واللهجة والعاطفة واضطراب النطق)
  3. طريقة الهجوم: تقديم طريقة هجوم صندوق أبيض غير معاملي قائمة على الفروقات في الأوزان، بدون الحاجة إلى الوصول إلى بيانات الكلام الأصلية
  4. النتائج الرئيسية: اكتشاف أن السمات الممثلة بشكل ناقص في بيانات التدريب المسبق أكثر عرضة للتسرب، خاصة معلومات اللهجة
  5. رؤى الحماية: توفير أدلة تجريبية على تخفيف تسرب السمات من خلال تنويع بيانات التدريب المسبق

شرح الطريقة

نموذج التهديد

تعتمد الدراسة على نموذج مهاجم جانب الخادم السلبي:

  • قدرات المهاجم: يمكن الوصول إلى النموذج العام Wg ونموذج التدريب المحلي للمتحدث المستهدف Ws
  • قيود الهجوم: لا يمكن الوصول إلى الصوت الأصلي أو النصوص المكتوبة أو البيانات الوصفية
  • هدف الهجوم: استدلال السمات الشخصية المحمية من خلال الفروقات في الأوزان فقط
  • افتراض التدريب: يتم ضبط كل نموذج على جملة واحدة من متحدث واحد

خوارزمية هجوم استدلال السمات

1. بناء نماذج الظل

محاكاة عملية الضبط باستخدام مجموعات بيانات عامة:

لكل عينة (xi, yi), i = 1,...,n:
1. ضبط النموذج العام Wg على العينة xi
2. الحصول على نموذج الظل Wi
3. بناء مجموعة بيانات معنونة {(Wi, yi)}

2. استخراج الميزات

استخراج ملخصات إحصائية من كل موتر معاملات p ∈ Wi:

zi = concat([μp, σp, min(p), max(p)] for each p ∈ Wi)

حيث zi ∈ Rd متجه ميزة بطول ثابت.

3. حساب مركز الفئة

حساب مركز الفئة لكل فئة:

z̄c = (1/Nc) ∑(i=1 to Nc) zi, where zi ∈ class c

4. استدلال السمة

بالنسبة للنموذج المستهدف Ws، استخراج متجه الميزة zs والتصنيف باستخدام المسافة الإقليدية المعايرة:

ĉ = argmin_c (||zs - z̄c||2 / (||zs||2 · ||z̄c||2))

نقاط الابتكار التقني

  1. الطريقة غير المعاملية: لا تتطلب تدريب مصنفات معقدة، تستخدم فقط الملخصات الإحصائية ومقاييس المسافة
  2. تحليل الفروقات في الأوزان: استخراج معلومات السمات مباشرة من التغييرات في معاملات النموذج
  3. قابلية التوسع: تتسع الطريقة بشكل طبيعي إلى إعدادات متعددة الفئات
  4. الجدوى العملية: الهجوم يتطلب موارد حسابية وكمية بيانات نسبية قليلة

إعداد التجارب

مجموعات البيانات

السمةمجموعة البياناتعدد العيناتالوصف
الجنس والعمر واللهجةSpeech Accent Archive (SAA)200تسجيلات مضبوطة، نص موحد
اضطراب النطقTORGO15 متحدثاً8 مع اضطراب، 7 طبيعيون
العاطفةRAVDESS24 متحدثاًكلام عاطفي من ممثلين محترفين

إعداد مهام التجارب

  1. كشف الجنس: 200 متحدث باللغة الإنجليزية الأم، 100 ذكر و 100 أنثى، تقسيم 75/25 للتدريب والاختبار
  2. كشف العمر: 18-24 سنة مقابل 35-44 سنة، 70 متحدثاً ذكراً، التحقق المتقاطع بـ 5 طيات
  3. كشف اللهجة: 200 متحدث، متحدثو اللغة الإنجليزية الأم مقابل غير الأم
  4. كشف العاطفة: ثلاث مهام تصنيف ثنائية (هادئ مقابل غاضب، سعيد مقابل حزين، هادئ مقابل خائف)
  5. كشف اضطراب النطق: التحقق المتقاطع بترك متحدث واحد

نماذج ASR

  1. Wav2Vec2-Base: 95 مليون معامل، تدريب مسبق على LibriSpeech
  2. HuBERT-Large: 300 مليون معامل، تدريب على LibriSpeech
  3. Whisper-Small: 244 مليون معامل، تدريب على 680 ألف ساعة بيانات متعددة اللغات

نتائج التجارب

معدلات نجاح الهجوم الرئيسية

المهمةWav2Vec2HuBERTWhisper
كشف الجنس64%63%46%
كشف العمر100%97%94%
كشف اللهجة100%80%93%
اضطراب النطق59%76%81%
العاطفة: هادئ مقابل غاضب52%67%83%
العاطفة: سعيد مقابل حزين50%54%75%
العاطفة: هادئ مقابل خائف46%48%73%

النتائج التجريبية الرئيسية

  1. اختلافات السمات كبيرة: يظهر العمر واللهجة أقوى تسرب (دقة 80-100%)، بينما الجنس الأصعب في التنبؤ (46-64%)
  2. اختلافات النموذج: يظهر Whisper تسرباً >70% على جميع السمات باستثناء الجنس
  3. الدلالة الإحصائية: تحقق نتائج كشف العمر دلالة إحصائية على جميع النماذج (فترة ثقة 95%)

نتائج التحليل الطبقي

من خلال التحليل الطبقي لـ Wav2Vec2:

  • معلومات العمر: تحافظ على معدل كشف عالي متسق عبر جميع الطبقات
  • العاطفة واضطراب النطق: تظهر تبايناً أكبر في الطبقات الوسطى والعليا
  • التخصص الطبقي: قد تتجاوز أداء بعض الطبقات المحددة الاستدلال على النموذج الكامل

تصنيف اللهجة الدقيق

تجارب التصنيف متعدد الفئات على 10 لهجات الأكثر شيوعاً:

  • قبل الهجوم: تحقيق دقة ≥90% على جميع لهجات الاختبار
  • بعد الحماية: انخفاض معدل نجاح الهجوم إلى <20% بعد الضبط على بيانات لهجات متنوعة
  • القدرة على التعميم: الحفاظ على معدل نجاح هجوم عالي على لهجات غير مرئية (يابانية وإيطالية وألمانية وبولندية ومقدونية)

الأعمال ذات الصلة

هجمات الخصوصية في التعلم الموزع

  1. هجمات استدلال العضوية: قدم شوكري وآخرون أول هجمات استدلال عضوية ضد نماذج التعلم الآلي
  2. تسرب التعلم التعاوني: درس ميليس وآخرون تسرب الميزات غير المقصود في التعلم التعاوني
  3. هجمات مجال الكلام: ركزت الأعمال السابقة بشكل أساسي على إعادة تحديد المتحدثين واستدلال العضوية

استدلال السمات في الكلام

  1. الطرق التقليدية: التعرف على السمات بناءً على إشارات الكلام الأصلية
  2. حماية الخصوصية: حساسية بيانات الكلام واحتياجات حماية الخصوصية
  3. مساهمة هذه الورقة: أول تركيز على استدلال السمات من خلال أوزان النموذج فقط

الاستنتاجات والمناقشة

الاستنتاجات الرئيسية

  1. تأكيد الضعف: نماذج ASR الموزعة تحتوي فعلاً على خطر تسرب السمات الشخصية من خلال تحديثات الأوزان
  2. الارتباط بالسمات: يرتبط مستوى التسرب ارتباطاً وثيقاً بتمثيل السمة في بيانات التدريب المسبق
  3. استراتيجيات الحماية: يمكن لتنويع بيانات التدريب المسبق تخفيف مخاطر تسرب السمات المعروفة بشكل فعال

القيود

  1. حجم التجارب: حجم العينة في بعض المهام أصغر، قد يؤثر على قابلية التعميم
  2. قيود اللغة: التركيز الأساسي على الكلام الإنجليزي، يحتاج إلى مزيد من البحث في البيئات متعددة اللغات
  3. نموذج الهجوم: يأخذ في الاعتبار فقط المهاجمين السلبيين، قد تنتج الهجمات النشطة تسريباً أكثر خطورة
  4. القيود الواقعية: قد لا يتطابق افتراض الضبط على جملة واحدة تماماً مع سيناريوهات التعلم الموزع الفعلية

الاتجاهات المستقبلية

  1. آليات الحماية: تطوير تقنيات حماية خصوصية أكثر فعالية، مثل الخصوصية التفاضلية والتجميع الآمن
  2. البحث متعدد اللغات: التوسع إلى السيناريوهات متعددة اللغات والعابرة للغات
  3. الحماية الديناميكية: البحث عن طرق للكشف والحماية من تسرب السمات في الوقت الفعلي
  4. التحليل النظري: تحليل الأسباب الجذرية لتسرب السمات من منظور نظري

التقييم المتعمق

المميزات

  1. أهمية البحث كبيرة: أول كشف منهجي لضعف تسرب السمات في نماذج ASR الموزعة، بأهمية كبيرة لحماية الخصوصية
  2. تصميم الطريقة معقول: طريقة هجوم بسيطة وفعالة، نموذج تهديد واقعي وموثوق
  3. التجارب شاملة: تغطي سمات متعددة ونماذج متعددة وتجارب تحليلية مفصلة
  4. الرؤى عميقة: اكتشاف الارتباط المهم بين تنوع بيانات التدريب المسبق وحماية الخصوصية
  5. القيمة العملية: توفير إرشادات مهمة لحماية الخصوصية في أنظمة التعلم الموزع

أوجه القصور

  1. قيود مجموعة البيانات: حجم مجموعات البيانات المستخدمة في بعض التجارب صغير نسبياً، قد يؤثر على الموثوقية الإحصائية
  2. افتراضات الهجوم: افتراض الضبط على جملة واحدة مبسط جداً، عادة ما يستخدم المزيد من البيانات في التطبيقات الفعلية
  3. تقييم الحماية: التقييم النسبي محدود لطرق الحماية، يحتاج إلى تحليل أمان أكثر شمولاً
  4. التعقيد الحسابي: لم يتم تحليل تكاليف الهجوم الحسابية والجدوى بالتفصيل

التأثير

  1. المساهمة الأكاديمية: فتح اتجاه جديد لبحث خصوصية التعلم الموزع، من المتوقع أن يثير المزيد من الأبحاث ذات الصلة
  2. الإرشادات العملية: توفير اعتبارات أمان مهمة لنشر أنظمة ASR الموزعة في الصناعة
  3. التأثير على السياسة: قد تؤثر نتائج البحث على صياغة وتنفيذ لوائح حماية الخصوصية ذات الصلة
  4. دفع التكنولوجيا: تعزيز تطوير خوارزميات التعلم الموزع الأكثر أماناً وتقنيات حماية الخصوصية

السيناريوهات المعمول بها

  1. أنظمة ASR الموزعة: تطبيق مباشر لتقييم الأمان في تطبيقات التعرف على الكلام الموزعة المختلفة
  2. تدقيق الخصوصية: يمكن استخدامه كأداة تدقيق أمان لأنظمة حماية الخصوصية
  3. تصميم النموذج: توفير مراجع مهمة لتصميم نماذج كلام أكثر أماناً
  4. الامتثال التنظيمي: مساعدة المنظمات على تقييم وضمان امتثال أنظمة الكلام الذكية

المراجع

  1. Baevski et al. "wav2vec 2.0: إطار عمل للتعلم الذاتي الإشراف لتمثيلات الكلام." NeurIPS 2020.
  2. Hsu et al. "HuBERT: تعلم تمثيل الكلام الذاتي الإشراف من خلال التنبؤ المقنع بالوحدات المخفية." IEEE/ACM TASLP 2021.
  3. Radford et al. "التعرف على الكلام القوي عبر الإشراف الضعيف على نطاق واسع." ICML 2023.
  4. Shokri et al. "هجمات استدلال العضوية ضد نماذج التعلم الآلي." IEEE S&P 2017.
  5. Melis et al. "استغلال تسرب الميزات غير المقصود في التعلم التعاوني." IEEE S&P 2019.

تكشف هذه الورقة عن مخاطر خصوصية مهمة في التعلم الموزع في مجال الكلام، وتوفر رؤى وإرشادات قيمة لبناء أنظمة ذكية للكلام أكثر أماناً. يتمتع البحث ليس فقط بقيمة أكاديمية مهمة، بل له أيضاً تأثير عميق على التطبيقات العملية.