Quotient Semivalues for False-Name-Resistant Data Attribution
作者: Florian A. D. Burnat, Brittany I. Davidson
分类: cs.GT, cs.CR, cs.LG
发布日期: 2026-05-08
💡 一句话要点
提出商半值(Quotient Semivalues)机制,解决机器学习数据归因中的虚假身份操纵问题
🎯 匹配领域: 支柱一:机器人控制 (Robot Control)
关键词: 数据归因 Shapley值 机器学习安全 博弈论 数据市场 鲁棒性评估
📋 核心要点
- 现有数据归因方法假设贡献者诚实,无法应对通过伪造身份、复制样本等手段进行的策略性操纵。
- 提出商半值机制,通过对数据进行聚类并计算簇级归因,利用规范代表算子消除簇内重复带来的虚假增益。
- 实验表明,该方法在DataMarket-Gym中将重复攻击的操纵增益从1.74降至0.96,有效提升了归因的鲁棒性。
📝 摘要(中文)
数据估值方法旨在为机器学习流水线中的数据贡献分配报酬或进行审计,但现有方法通常假设贡献者是被动的。实际上,贡献者可能通过伪造多个身份、复制高价值样本、创建近重复样本或清洗合成变体来夸大其贡献份额。本文将此问题形式化为机器学习数据归因中的“虚假身份操纵”。我们提出了商半值(Quotient Semivalue)机制:通过在基于证据的归因聚类而非原始身份上计算Shapley、Banzhaf或Beta值,并利用规范代表算子来吸收簇内重复。我们证明了在固定单调数据价值博弈中,精确的Shapley公平归因与无限制的虚假身份抗性是不兼容的。在满足簇内中立分配和商稳定操纵的条件下,该机制可实现完全的虚假身份抗性。在DataMarket-Gym基准测试中,该方法显著降低了重复攻击带来的操纵增益,使归因结果接近诚实水平。
🔬 方法详解
问题定义:论文旨在解决机器学习数据市场中“虚假身份(False-Name)”操纵问题。现有归因方法(如Shapley值)假设贡献者身份唯一,而恶意参与者通过拆分数据集、复制样本或生成变体,能非法获取不成比例的报酬,破坏了归因的公平性与真实性。
核心思路:引入“商空间”概念,将原始数据贡献者映射到基于证据的归因簇中。通过将归因计算从“身份维度”转移到“内容相似度维度”,使得重复或近重复样本被归并为同一代表性实体,从而在数学上抵消了通过复制样本进行操纵的动机。
技术框架:该框架包含三个阶段:首先是基于证据的聚类,将具有高度相似性的样本归入同一簇;其次是应用规范代表算子(Canonical-representative operator),对簇内数据进行去重或加权处理;最后在商空间上计算半值(如Shapley或Banzhaf值),将价值分配给簇而非原始身份。
关键创新:首次证明了精确Shapley归因与虚假身份抗性在理论上的不兼容性,并提出了商半值机制作为折中方案。通过引入“簇内中立分配”和“商稳定操纵”两个结构性条件,实现了对操纵增益的严格边界控制。
关键设计:利用余弦相似度阈值进行聚类,并定义了衡量操纵增益的三个核心指标:逃逸簇质量(Escaped-cluster mass)、价值估计误差以及聚类距离,用于在 provenance(来源)信息不完美时量化公平性损失与操纵增益的权衡。
🖼️ 关键图片
📊 实验亮点
在DataMarket-Gym基准测试中,商半值机制表现优异。在面对重复和近重复Sybil攻击时,该方法将操纵增益从基线Shapley的1.74降低至0.96,几乎恢复到诚实参与者的水平。此外,通过对余弦阈值及聚类错误率的扫描,论文清晰刻画了公平性与抗操纵性之间的帕累托前沿。
🎯 应用场景
该研究适用于数据交易市场、联邦学习贡献度评估及大规模数据审计场景。通过抑制恶意参与者通过Sybil攻击(伪造身份)获取不当利益,该机制能确保数据贡献者获得公平报酬,提升数据协作生态的信任度与鲁棒性。
📄 摘要(原文)
Data valuation methods allocate payments and audit training data's contribution to machine-learning pipelines; however, they often assume passive contributors. In reality, contributors can split datasets across pseudonymous identities, duplicate high-value examples, create near-duplicates, or launder synthetic variants to inflate their share. We formalize this as false-name manipulation in ML data attribution. Our main construction is the quotient semivalue mechanism: compute Shapley-, Banzhaf-, or Beta-style values over evidence-backed attribution clusters instead of raw identities, using a canonical-representative operator to absorb within-cluster duplication. We prove an impossibility: on a fixed monotone data-value game, exact Shapley-fair attribution over reported identities is incompatible with unrestricted false-name-proofness, even on binary-valued instances, and characterize the split-gain of a general semivalue on a unanimity counter-example. The mechanism is exactly false-name-proof under two structural conditions: false-name-neutral within-cluster allocation and quotient-stable manipulations. Under imperfect provenance, when these conditions hold approximately, manipulation gain and fairness loss are bounded by three measurable quantities: escaped-cluster mass, value-estimation error, and clustering distance. We instantiate the mechanisms in DataMarket-Gym, a benchmark for attribution under strategic provider attacks. On synthetic classification tasks, quotient semivalues with example-level evidence reduce manipulation gain on duplicate and near-duplicate Sybil attacks from $1.74$ under baseline Shapley to $0.96$, near the honest level. The cosine-threshold and (false-merge, false-split) rate sweeps trace the corresponding fairness--Sybil frontier.