On the Privacy of LLMs: An Ablation Study

📄 arXiv: 2605.02255v1 📥 PDF

作者: Karima Makhlouf, Lamiaa Basyoni, Syed Khaderi, Gabriel Marquez, Peter Sotomango, Mahmoud Awawdah, Sami Zhioua

分类: cs.CR, cs.AI

发布日期: 2026-05-04

💡 一句话要点

针对LLM隐私风险,提出统一威胁模型并进行消融研究,揭示设计选择的影响。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 隐私攻击 成员推理 属性推理 数据提取 后门攻击 消融研究

📋 核心要点

  1. 现有LLM隐私攻击研究通常孤立分析,忽略了系统因素的综合影响,难以评估真实场景下的隐私风险。
  2. 论文提出统一的威胁模型和符号体系,并进行消融研究,系统性地评估模型架构、规模、数据集等因素对隐私攻击的影响。
  3. 实验表明,不同类型的隐私攻击表现差异显著,成员推理和后门攻击风险较高,而属性推理和数据提取攻击虽准确率较低,但仍构成威胁。

📝 摘要(中文)

大型语言模型(LLM)越来越多地部署在交互式和检索增强的环境中,引发了严重的隐私问题。尽管成员推理攻击(MIA)、属性推理攻击(AIA)、数据提取攻击(DEA)和后门攻击(BA)等已被研究,但它们通常是孤立地分析的,缺乏对常见系统因素影响的理解。本文提出了一个统一的威胁模型和符号体系,复现了一组具有代表性的隐私攻击,并进行了一项结构化的消融研究,以评估关键因素(如模型架构、规模、数据集特征和检索配置)的影响。分析表明,不同攻击类型之间存在明显差异。成员推理攻击,特别是基于掩码的变体,表现出强大而可靠的信号,而后门攻击由于其基于触发器的特性,始终保持较高的成功率。相比之下,属性推理和数据提取攻击仍然更具挑战性,导致较低的准确率,但由于它们针对敏感的个人信息,因此构成了重大风险。总的来说,这些结果表明,LLM系统中的隐私风险高度依赖于上下文,并受设计选择的驱动,强调需要进行全面的评估和知情的部署实践。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLM)在实际部署中面临的隐私泄露问题。现有的隐私攻击研究通常是孤立的,没有充分考虑模型架构、规模、数据集特性等系统因素的综合影响。因此,难以全面评估LLM在不同场景下的隐私风险,并为安全部署提供指导。

核心思路:论文的核心思路是建立一个统一的威胁模型,并采用消融研究的方法,系统性地评估各种因素对不同类型隐私攻击的影响。通过控制变量,分析每个因素对攻击成功率的贡献,从而揭示LLM隐私风险的内在机制。

技术框架:论文的技术框架主要包括以下几个部分:1) 定义统一的威胁模型和符号体系,用于描述不同类型的隐私攻击;2) 复现并选择具有代表性的隐私攻击方法,包括成员推理攻击(MIA)、属性推理攻击(AIA)、数据提取攻击(DEA)和后门攻击(BA);3) 构建消融实验,系统性地改变模型架构、规模、数据集特征和检索配置等因素;4) 分析实验结果,评估每个因素对不同攻击类型的影响。

关键创新:论文的关键创新在于:1) 提出了一个统一的威胁模型,为LLM隐私攻击的研究提供了一个通用的框架;2) 通过消融研究,系统性地评估了各种因素对不同类型隐私攻击的影响,揭示了LLM隐私风险的内在机制;3) 强调了LLM隐私风险的高度上下文依赖性,并指出设计选择对隐私风险具有重要影响。与现有方法相比,该研究更加全面和系统,能够为LLM的安全部署提供更有效的指导。

关键设计:在消融实验中,论文考虑了以下关键因素:模型架构(例如,Transformer的层数和注意力头数)、模型规模(例如,参数量)、数据集特征(例如,数据集的大小和多样性)和检索配置(例如,检索增强的策略)。针对不同的攻击类型,论文采用了不同的评估指标,例如,成员推理攻击使用准确率和AUC,属性推理攻击使用准确率,数据提取攻击使用BLEU分数,后门攻击使用攻击成功率。此外,论文还探索了不同的攻击变体,例如,基于掩码的成员推理攻击。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,成员推理攻击(特别是基于掩码的变体)表现出强大而可靠的信号,而后门攻击由于其基于触发器的特性,始终保持较高的成功率。相比之下,属性推理和数据提取攻击的准确率较低,但仍然对敏感信息构成威胁。消融研究揭示了模型架构、规模、数据集特征和检索配置等因素对不同攻击类型的影响。

🎯 应用场景

该研究成果可应用于评估和改进LLM的隐私保护能力,指导LLM的安全部署。例如,在开发面向用户的LLM应用时,可以利用该研究的结论来选择合适的模型架构、规模和数据集,并采取相应的隐私保护措施,以降低隐私泄露的风险。此外,该研究还可以为LLM的隐私监管提供参考。

📄 摘要(原文)

Large language models (LLMs) are increasingly deployed in interactive and retrieval-augmented settings, raising significant privacy concerns. While attacks such as Membership Inference (MIA), Attribute Inference (AIA), Data Extraction (DEA), and Backdoor Attacks (BA) have been studied, they are typically analyzed in isolation, leaving a gap in understanding their behavior under common system factors. In this paper, we introduce a unified threat model and notation, reproduce a representative set of privacy attacks, and conduct a structured ablation study to evaluate the impact of key factors such as model architecture, scale, dataset characteristics, and retrieval configuration. Our analysis reveals clear differences across attack types. Membership inference attacks, particularly mask-based variants, exhibit strong and reliable signals, while backdoor attacks achieve consistently high success rates due to their trigger-based nature. In contrast, attribute inference and data extraction attacks remain more challenging, resulting in lower accuracy, yet they pose significant risks as they target sensitive personal information. Overall, these results highlight that privacy risks in LLM systems are highly context-dependent and driven by design choices, emphasizing the need for holistic evaluation and informed deployment practices.