Membership Inference Attacks Against Vision-Language Models

📄 arXiv: 2501.18624v2 📥 PDF

作者: Yuke Hu, Zheng Li, Zhihao Liu, Yang Zhang, Zhan Qin, Kui Ren, Chun Chen

分类: cs.CR, cs.AI

发布日期: 2025-01-27 (更新: 2025-02-07)

备注: Accepted by USENIX'25; 22 pages, 28 figures;

💡 一句话要点

针对视觉-语言模型的成员推理攻击,揭示数据泄露风险。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 视觉-语言模型 成员推理攻击 数据泄露 温度参数 指令调优

📋 核心要点

  1. 现有视觉-语言模型(VLM)研究主要关注性能提升,忽略了指令调优数据中潜在的敏感信息泄露风险。
  2. 论文提出一种新颖的成员推理攻击(MIA)方法,利用VLM中温度参数的敏感性来推断数据是否为训练集成员。
  3. 实验证明,该方法在不同背景知识下均能有效推断成员身份,例如在LLaVA上仅用5个样本即可达到0.8以上的AUC。

📝 摘要(中文)

视觉-语言模型(VLM)建立在预训练的视觉编码器和大型语言模型(LLM)之上,展现出卓越的多模态理解和对话能力,使其成为下一场技术革命的催化剂。然而,虽然大多数VLM研究都集中在增强多模态交互上,但数据滥用和泄露的风险在很大程度上尚未被探索。这促使我们需要对VLM中的此类风险进行全面调查。在本文中,我们首次通过成员推理攻击(MIA)的视角分析了VLM中的滥用和泄露检测。具体而言,我们关注VLM的指令调优数据,这些数据更可能包含敏感或未经授权的信息。为了解决现有MIA方法的局限性,我们引入了一种新颖的方法,该方法基于一组样本及其对温度(VLM中的一个独特参数)的敏感性来推断成员身份。基于此,我们提出了四种成员推理方法,每种方法都针对不同级别的背景知识,最终达到最具挑战性的场景。我们的全面评估表明,这些方法可以准确地确定成员身份,例如,在LLaVA上针对仅包含5个样本的小型集合实现大于0.8的AUC。

🔬 方法详解

问题定义:论文旨在研究视觉-语言模型(VLM)在指令调优阶段是否存在数据泄露风险。现有成员推理攻击(MIA)方法可能无法有效应用于VLM,特别是无法充分利用VLM的特性来提高攻击效果。因此,需要设计新的MIA方法来评估VLM的安全性。

核心思路:论文的核心思路是利用VLM中温度参数对不同样本的敏感性差异来区分训练集成员和非成员。训练集中的样本通常会使模型产生更自信的预测,因此对温度变化的敏感性较低。反之,非训练集样本的预测结果更容易受到温度的影响。

技术框架:论文提出了四种MIA方法,分别对应不同程度的背景知识: 1. White-box MIA: 假设攻击者完全了解目标模型的结构和参数。 2. Black-box MIA: 攻击者只能访问模型的输入输出。 3. Multi-sample MIA: 利用多个样本进行推理,提高攻击的准确性。 4. Adaptive MIA: 根据目标模型的特性自适应地调整攻击策略。 整体流程包括:选择目标VLM,收集或生成候选样本,利用不同MIA方法进行成员推理,评估攻击效果。

关键创新:论文的关键创新在于利用VLM中温度参数的敏感性进行成员推理。这是首次将温度参数作为MIA的特征,并针对VLM的特性设计了相应的攻击方法。此外,论文还提出了多种MIA变体,以适应不同的攻击场景和背景知识。

关键设计:论文的关键设计包括: 1. 温度敏感性度量:定义了如何量化样本对温度变化的敏感性,例如通过计算不同温度下的预测结果的差异。 2. 推理规则:基于温度敏感性,设计了不同的推理规则来判断样本是否为训练集成员。 3. 多样本聚合:提出了如何将多个样本的推理结果进行聚合,以提高攻击的鲁棒性和准确性。 4. 自适应策略:设计了如何根据目标模型的特性自适应地调整温度参数和推理规则。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,论文提出的MIA方法能够有效攻击视觉-语言模型。例如,在LLaVA模型上,仅使用5个样本,即可达到AUC大于0.8的攻击效果。这表明VLM在指令调优阶段存在显著的数据泄露风险,需要引起重视。不同背景知识下的MIA变体均表现出良好的攻击性能,验证了方法的通用性和有效性。

🎯 应用场景

该研究成果可应用于评估和提升视觉-语言模型的安全性,防止敏感数据泄露。通过MIA攻击,可以发现模型训练数据中存在的隐私问题,并指导模型开发者采取相应的防御措施,例如差分隐私训练、数据脱敏等。此外,该研究也有助于制定更严格的数据安全标准和隐私保护政策。

📄 摘要(原文)

Vision-Language Models (VLMs), built on pre-trained vision encoders and large language models (LLMs), have shown exceptional multi-modal understanding and dialog capabilities, positioning them as catalysts for the next technological revolution. However, while most VLM research focuses on enhancing multi-modal interaction, the risks of data misuse and leakage have been largely unexplored. This prompts the need for a comprehensive investigation of such risks in VLMs. In this paper, we conduct the first analysis of misuse and leakage detection in VLMs through the lens of membership inference attack (MIA). In specific, we focus on the instruction tuning data of VLMs, which is more likely to contain sensitive or unauthorized information. To address the limitation of existing MIA methods, we introduce a novel approach that infers membership based on a set of samples and their sensitivity to temperature, a unique parameter in VLMs. Based on this, we propose four membership inference methods, each tailored to different levels of background knowledge, ultimately arriving at the most challenging scenario. Our comprehensive evaluations show that these methods can accurately determine membership status, e.g., achieving an AUC greater than 0.8 targeting a small set consisting of only 5 samples on LLaVA.