Revisiting Data Auditing in Large Vision-Language Models

📄 arXiv: 2504.18349v1 📥 PDF

作者: Hongyu Zhu, Sichu Liang, Wenwen Wang, Boheng Li, Tongxin Yuan, Fangqi Li, ShiLin Wang, Zhuosheng Zhang

分类: cs.CV, cs.CR

发布日期: 2025-04-25

💡 一句话要点

揭示大视觉语言模型数据审计中成员推理的局限性,并探索可行场景

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 视觉语言模型 数据审计 成员推理 分布偏移 最优传输

📋 核心要点

  1. 现有成员推理(MI)方法在视觉语言模型(VLM)数据审计中表现出高准确率,但忽略了成员和非成员数据间的分布偏移。
  2. 论文提出基于最优传输的指标来量化分布差异,并构建了无偏的MI基准,以更真实地评估MI方法的性能。
  3. 实验表明,现有MI方法在无偏基准上失效,性能接近随机猜测,但微调、访问真实文本和集合推理等场景下MI可行。

📝 摘要(中文)

随着大型语言模型(LLMs)的兴起,将视觉编码器与LLMs集成的视觉语言模型(VLMs)在通用智能体和机器人控制等任务中展现出巨大潜力。然而,VLMs通常在海量的网络抓取图像上进行训练,引发了对版权侵犯和隐私泄露的担忧,使得数据审计变得日益紧迫。成员推理(MI)作为一种关键的审计技术,用于确定样本是否被用于训练,并在LLaVA等开源VLMs上取得了可喜的成果(AUC > 80%)。本文重新审视了这些进展,并揭示了一个关键问题:当前的MI基准测试存在成员和非成员图像之间的分布偏移,引入了捷径线索,从而夸大了MI的性能。我们进一步分析了这些偏移的性质,并提出了一种基于最优传输的原则性指标来量化分布差异。为了在实际环境中评估MI,我们构建了具有独立同分布(i.i.d.)成员和非成员图像的新基准。现有的MI方法在这些无偏条件下失效,性能仅略好于随机猜测。此外,我们通过探测VLM嵌入空间内的贝叶斯最优性来探索MI的理论上限,发现不可约误差率仍然很高。尽管前景不乐观,我们分析了VLM的MI为何特别具有挑战性,并确定了三个可行的实际场景——微调、访问真实文本以及基于集合的推理。我们的研究对VLM的MI的局限性和机遇进行了系统性的分析,为未来可信数据审计工作提供了指导。

🔬 方法详解

问题定义:现有成员推理方法在评估视觉语言模型(VLM)的数据审计能力时,存在严重的偏差。这些方法在设计时,没有充分考虑到训练数据(成员数据)和非训练数据(非成员数据)之间可能存在的分布差异。这种分布差异导致成员推理算法利用了与成员身份无关的捷径特征,从而高估了其性能。因此,需要一种更可靠的方法来评估VLM的成员推理能力,尤其是在成员和非成员数据分布相似的情况下。

核心思路:论文的核心思路是构建一个更真实的成员推理评估框架,该框架能够消除成员和非成员数据之间的分布偏移。通过构建独立同分布(i.i.d.)的成员和非成员数据集,可以避免现有方法中存在的捷径特征。此外,论文还探讨了在特定场景下,例如微调、访问真实文本以及基于集合的推理,成员推理的可行性。

技术框架:论文的技术框架主要包括以下几个部分: 1. 分布偏移量化:提出基于最优传输的指标来量化成员和非成员数据之间的分布差异。 2. 无偏基准构建:构建具有i.i.d.成员和非成员图像的新基准数据集。 3. 成员推理评估:在新的无偏基准上评估现有成员推理方法的性能。 4. 理论上限分析:通过探测VLM嵌入空间内的贝叶斯最优性来探索MI的理论上限。 5. 可行场景探索:分析在微调、访问真实文本以及基于集合的推理等场景下成员推理的可行性。

关键创新:论文的关键创新在于: 1. 揭示了现有成员推理基准的偏差:指出现有基准中成员和非成员数据之间的分布偏移是导致性能高估的关键因素。 2. 提出了基于最优传输的分布差异量化指标:提供了一种量化成员和非成员数据之间分布差异的有效方法。 3. 构建了无偏的成员推理基准:提供了一个更真实的评估成员推理方法性能的平台。

关键设计:论文的关键设计包括: 1. 最优传输距离的计算:使用最优传输距离来衡量成员和非成员数据在特征空间中的分布差异。具体来说,论文可能使用了Wasserstein距离或Sliced Wasserstein距离等。 2. 无偏数据集的构建:通过精心设计的数据收集和处理流程,确保成员和非成员数据集之间不存在显著的分布偏移。这可能涉及到数据清洗、数据增强等技术。 3. 成员推理算法的评估:使用多种现有的成员推理算法,并在新的无偏基准上进行评估,以验证现有算法的有效性。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,现有成员推理方法在无偏基准上表现不佳,性能仅略好于随机猜测。这表明现有方法过度依赖于数据分布的捷径特征。然而,在微调、访问真实文本和集合推理等特定场景下,成员推理仍然可行,为未来的研究提供了方向。

🎯 应用场景

该研究成果对视觉语言模型的数据安全和隐私保护具有重要意义。通过更准确地评估成员推理的风险,可以帮助开发者采取更有效的防御措施,防止模型被用于恶意目的,例如泄露训练数据中的敏感信息。此外,该研究也为未来可信数据审计提供了指导,促进负责任的AI发展。

📄 摘要(原文)

With the surge of large language models (LLMs), Large Vision-Language Models (VLMs)--which integrate vision encoders with LLMs for accurate visual grounding--have shown great potential in tasks like generalist agents and robotic control. However, VLMs are typically trained on massive web-scraped images, raising concerns over copyright infringement and privacy violations, and making data auditing increasingly urgent. Membership inference (MI), which determines whether a sample was used in training, has emerged as a key auditing technique, with promising results on open-source VLMs like LLaVA (AUC > 80%). In this work, we revisit these advances and uncover a critical issue: current MI benchmarks suffer from distribution shifts between member and non-member images, introducing shortcut cues that inflate MI performance. We further analyze the nature of these shifts and propose a principled metric based on optimal transport to quantify the distribution discrepancy. To evaluate MI in realistic settings, we construct new benchmarks with i.i.d. member and non-member images. Existing MI methods fail under these unbiased conditions, performing only marginally better than chance. Further, we explore the theoretical upper bound of MI by probing the Bayes Optimality within the VLM's embedding space and find the irreducible error rate remains high. Despite this pessimistic outlook, we analyze why MI for VLMs is particularly challenging and identify three practical scenarios--fine-tuning, access to ground-truth texts, and set-based inference--where auditing becomes feasible. Our study presents a systematic view of the limits and opportunities of MI for VLMs, providing guidance for future efforts in trustworthy data auditing.