今年10月的一项研究显示,语言大模型的推测能力,使其在“某些方面”的准确度几乎接近人类甚至超越人类。这引发了作者对大模型可能被用来“人肉搜索”的担忧。“开盒”从未如此简单?大模型是否会侵害我们的隐私? 大语言模型(Large language Model, LLM)可以从文本中准确推断个人属性。



声明

本文内容全文整理自 https://llm-privacy.org/

Staab, Robin, Mark Vero, Mislav Balunović, and Martin Vechev. “Beyond Memorization: Violating Privacy Via Inference with Large Language Models.” arXiv preprint arXiv:2310.07298 (2023).



演示案例

对照当前最先进的大语言模型(LLM), 测试您的隐私推理技能!





Q&A

Q1: 有什么问题吗?

LLM可以从文本中准确推断个人属性信息; 当前关于大语言模型(LLM)的隐私研究主要集中在提取记忆的训练数据的问题上。与此同时,模型的推理能力也大幅提升。这就提出了一个问题:当前的LLM是否能从给定文本推断作者个人属性信息。我们的研究表明,随着能力的增强,LLM能够从提供给他们的非结构化文本(例如公共论坛或社交网络帖子)中自动推断出广泛的个人作者属性(例如年龄、性别和出生地)。推理时间。特别是,我们发现当前的前沿模型(例如 GPT-4 )在从文本推断此类属性时平均达到85% top-1 和95.8% top-3 的准确度。与此同时,LLM的快速发展大大降低了此类侵犯隐私推论的相关成本(> 100 倍的金钱和 > 240 倍的时间),使对手能够将侵犯隐私的推论规模远远超出以前通过昂贵的人力所能实现的范围。分析器。

LLM的回答会有n个排序, 概率从高到低,一般我们收到(看到的)回答是top1, 其他回答是隐藏起来的。第一个回答猜对的概率达到85%,而前三个回答猜对的概率是95.8%。


Q2: 为什么这很重要?

它可以直接影响用户隐私; 人们在互联网留下了大量文本——常常无意中泄露了他们不想透露的个人数据。欧盟的 GDPR 或加州 CCPA 等数据保护法规的制定是为了保护原始个人数据。仅当个人数据以明显的形式存在时,例如具有显式属性字段的私人配置文件,才能遵守此类法规。相比之下,我们的工作引入了一种威胁模型,其中私人信息是从其存在不明显的上下文中推断出来的。我们展示了恶意行为者如何通过将用户的在线帖子输入预先训练的LLM来推断出从未打算泄露的用户私人信息。众所周知,一半的美国人口可以通过位置、性别和出生日期等少量属性来唯一识别[Sweeney, ‘02]。LLM可以从互联网上发现的非结构化摘录中推断出其中一些属性,可以使用其他公开信息(例如美国的选民记录)来识别实际的人。这将允许这些行为者将从帖子中推断出的高度个人化的信息(例如,心理健康状况)与真实的人联系起来,并将其用于不良或非法活动,例如有针对性的政治运动、自动分析或跟踪。LLM的广泛可用性和快速发展带来了范式的变化,以前的 NLP 技术缺乏实现此类任务所需的自然语言理解水平。此外,我们还表明,进行侵犯隐私的推理的能力随着模型的大小而变化,预计在不久的将来会对用户隐私产生更大的影响。


Q3: 这在实践中是如何运作的?

它具有可扩展性并且易于执行。 我们根据来自 500 多个个人资料的真实 Reddit 评论评估了当前几个 LLM 的隐私推理能力,包括整个 Llama-2 系列、Anthropic 的 Claude 2、Google 的 PaLM 2 和 GPT-4 。我们的实验表明(除了这些LLM取得了令人印象深刻的准确性这一事实之外),这种侵犯隐私的推论非常容易大规模执行。特别是,我们发现这是两个因素的结合:

  • 首先,我们观察到目前模型中**几乎没有有效的保护措施,这会使侵犯隐私的推论变得更加容易。**值得注意的是,这使我们能够使用简单的提示(仅使用 COT 等基本技术),从而节省了提示工程所需的大量时间和精力。只有在极少数情况下,我们发现模型(跨大型提供商,即 OpenAI、Google、Meta、Anthropic)会阻止请求,在这种情况下,人们将不得不诉诸更复杂的提示技术。
  • 同时,这些模型广泛且易于使用,使对手能够以最小的前期成本大幅扩展。即使有 API 限制,我们的实验实现了 时间减少100 倍 、 成本减少240 倍。从那时起,我们联系了所有模型提供商,作为我们负责任的披露政策的一部分,积极讨论如何在未来防止此类推论。我们在这一领域看到了两种有前途的方法:(i)致力于在预先训练的LLM中针对侵犯隐私的推理请求提供具体的保障措施;(ii)为最终用户提供可以保护其生成的文本免受推理的工具。


Q4: 我们使用匿名工具可以躲过LLM的隐私推断吗?

LLM的表现优于当前的匿名工具。 为了测试LLM在最先进的匿名化工具上的表现,我们对所有收集的数据进行了匿名化,重新运行我们的推论。事实证明,即使在应用了高度匿名化之后,文本中仍然保留了足够的相关上下文,供LLM重建部分个人信息。此外,这些工具完全无法解决更多被删除的线索,例如特定的语言特征,同时仍然为侵犯隐私的LLM推论提供了大量信息。这尤其令人担忧,因为在这些情况下,用户采取了明确的预防隐私泄露的措施,从而造成一种高隐私感的错觉。同时,使用当前的匿名工具,在匿名化和实用性之间存在显着的权衡。简单地用 *替换部分文本会严重影响数据本身的有用性。



广而告之