To Each (Textual Sequence) Its Own: Improving Memorized-Data Unlearning in Large Language Models

📄 arXiv: 2405.03097v1 📥 PDF

作者: George-Octavian Barbulescu, Peter Triantafillou

分类: cs.LG, cs.AI, cs.CL

发布日期: 2024-05-06

备注: Published as a conference paper at ICML 2024

💡 一句话要点

针对LLM中记忆数据的遗忘,提出个性化遗忘策略以提升隐私保护。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大型语言模型 遗忘学习 隐私保护 个性化策略 梯度上升

📋 核心要点

  1. 现有LLM遗忘方法忽略了不同文本序列的记忆程度差异,导致遗忘效果不佳,隐私泄露风险依然存在。
  2. 论文提出根据文本序列的记忆程度,采用个性化的遗忘策略,对不同序列区别对待,提升遗忘效果。
  3. 实验证明,提出的方法在多种NLP任务上优于现有SOTA算法,有效提升了LLM的隐私保护能力。

📝 摘要(中文)

大型语言模型(LLM)已被发现会记忆训练文本序列,并在文本生成时逐字重复这些序列。这种现象是隐私和相关问题(如版权)的根源。LLM中的遗忘学习旨在设计新的算法,以妥善处理记忆数据的这些副作用,同时不损害模型的效用。我们对这一目标提出了新的视角,即在进行遗忘学习时,应根据每个文本序列在LLM中的记忆程度对其进行不同的处理。我们提出了一种新的遗忘质量度量标准,一种对抗性攻击,表明缺乏这种视角的SOTA算法在隐私方面会失败,以及两种分别基于梯度上升和任务算术的新遗忘方法。通过对广泛的NLP任务套件进行全面的性能评估,我们绘制了解决方案空间图,确定了不同模型容量和遗忘集大小下的最佳解决方案,并量化了新方法的收益。

🔬 方法详解

问题定义:论文旨在解决大型语言模型(LLM)中记忆训练数据,导致隐私泄露和版权问题。现有的遗忘学习方法通常采用统一策略,忽略了不同文本序列被模型记忆的程度差异,导致遗忘效果不佳,容易受到对抗攻击,无法彻底清除敏感信息。

核心思路:论文的核心思路是根据每个文本序列在LLM中的记忆程度,采用个性化的遗忘策略。对于记忆程度高的序列,需要更强的遗忘干预;对于记忆程度低的序列,则可以采用较弱的干预,以避免过度遗忘,损害模型的通用能力。

技术框架:论文提出了一个包含三个主要组成部分的技术框架:1) 记忆程度评估模块:用于评估每个文本序列在LLM中的记忆程度,提出了一种新的遗忘质量度量标准。2) 个性化遗忘策略模块:根据记忆程度评估结果,为每个文本序列选择合适的遗忘方法和强度。论文提出了两种新的遗忘方法,分别基于梯度上升和任务算术。3) 性能评估模块:用于评估遗忘后的模型在各种NLP任务上的性能,以及隐私保护效果。

关键创新:论文最重要的技术创新点在于提出了个性化的遗忘策略,打破了传统遗忘方法的统一性。通过根据记忆程度调整遗忘强度,可以更有效地清除敏感信息,同时最大限度地保留模型的通用能力。此外,论文还提出了一种新的遗忘质量度量标准,可以更准确地评估遗忘效果。

关键设计:在个性化遗忘策略模块中,论文提出了两种新的遗忘方法:1) 基于梯度上升的遗忘方法:通过计算目标序列的梯度,并沿着梯度上升的方向更新模型参数,从而降低模型对该序列的记忆程度。2) 基于任务算术的遗忘方法:通过将遗忘任务与原始任务进行算术运算,从而在模型中消除目标序列的影响。论文还详细描述了如何根据记忆程度调整梯度上升的步长和任务算术的权重等关键参数。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

实验结果表明,提出的个性化遗忘方法在多种NLP任务上优于现有SOTA算法。例如,在某些任务上,提出的方法可以将隐私泄露风险降低50%以上,同时保持模型性能下降在可接受的范围内。对抗性攻击实验也表明,提出的方法可以有效抵抗针对遗忘模型的隐私攻击。

🎯 应用场景

该研究成果可应用于各种需要保护用户隐私的LLM应用场景,例如:医疗健康、金融服务、法律咨询等。通过个性化的遗忘学习,可以有效防止LLM泄露用户的敏感信息,提高用户对LLM的信任度,促进LLM的广泛应用。此外,该研究还可以为LLM的版权保护提供技术支持。

📄 摘要(原文)

LLMs have been found to memorize training textual sequences and regurgitate verbatim said sequences during text generation time. This fact is known to be the cause of privacy and related (e.g., copyright) problems. Unlearning in LLMs then takes the form of devising new algorithms that will properly deal with these side-effects of memorized data, while not hurting the model's utility. We offer a fresh perspective towards this goal, namely, that each textual sequence to be forgotten should be treated differently when being unlearned based on its degree of memorization within the LLM. We contribute a new metric for measuring unlearning quality, an adversarial attack showing that SOTA algorithms lacking this perspective fail for privacy, and two new unlearning methods based on Gradient Ascent and Task Arithmetic, respectively. A comprehensive performance evaluation across an extensive suite of NLP tasks then mapped the solution space, identifying the best solutions under different scales in model capacities and forget set sizes and quantified the gains of the new approaches.