論文の概要: DP-Fusion: Token-Level Differentially Private Inference for Large Language Models
- arxiv url: http://arxiv.org/abs/2507.04531v2
- Date: Sun, 19 Oct 2025 10:40:56 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-25 00:56:38.447965
- Title: DP-Fusion: Token-Level Differentially Private Inference for Large Language Models
- Title(参考訳): DPフュージョン:大規模言語モデルに対するトークンレベル差分プライベート推論
- Authors: Rushil Thareja, Preslav Nakov, Praneeth Vepakomma, Nils Lukas,
- Abstract要約: 大規模言語モデル(LLM)は、推論時にプライバシを保存しない。
DP-Fusion は LLM の出力にコンテキスト内のトークンの集合が持つ影響を証明的に束縛する。
提案手法は, 理論的および実証的プライバシを大幅に改善した, 証明可能な民営化文書を作成する。
- 参考スコア(独自算出の注目度): 51.71591819896191
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Large language models (LLMs) do not preserve privacy at inference-time. The LLM's outputs can inadvertently reveal information about the model's context, which presents a privacy challenge when the LLM is augmented via tools or databases containing sensitive information. Existing privacy-preserving methods at inference-time have significant limitations since they (i) lack provable guarantees or (ii) have a poor utility/privacy trade-off. We propose DP-Fusion, a Differentially Private Inference (DPI) mechanism for LLMs that provably bounds the influence a set of tokens in the context can have on the LLM's output. DP-Fusion works as follows: (1) label a subset of sensitive tokens, (2) infer the LLM without any sensitive tokens to obtain a baseline, (3) infer the LLM with the sensitive tokens, and (4) blend distributions so that the final output remains within a bounded distance of the baseline distribution. While this per-token influence bound also mitigates jailbreak-style prompt injection, we focus on \emph{document privatization}, where the goal is to paraphrase a document containing sensitive tokens, e.g., personally identifiable information, so that no attacker can reliably infer them from the paraphrased document while preserving high text quality. The privacy/utility trade-off is controlled by $\epsilon$, where $\epsilon=0$ hides sensitive tokens entirely, while higher values trade off privacy for improved text quality. We show that our method creates token-level provably privatized documents with substantially improved theoretical and empirical privacy, achieving $6\times$ lower perplexity than related DPI methods.
- Abstract(参考訳): 大規模言語モデル(LLM)は、推論時にプライバシを保存しない。
LLMの出力は、故意にモデルのコンテキストに関する情報を明らかにすることができる。
既存のプライバシ保護手法の推論時保存方法には、それ以来大きな制限がある
一 証明可能な保証がないこと、又は
(二 効用・民営のトレードオフが乏しいこと。)
DP-Fusion は LLM に対する微分プライベート推論(DPI)機構であり、LLM の出力に対してコンテキスト内のトークンの集合が持つ影響を確実に束縛するものである。
DP-フュージョンは、(1) 感度トークンのサブセットのラベル付け、(2) 感度トークンなしでLCMを推論してベースラインを得る、(3) 感度トークンでLSMを推定、(4) 最終的な出力がベースライン分布の有界距離内に残るように混合分布を行う。
この影響はジェイルブレイクスタイルのプロンプトインジェクションを緩和するが、我々は 'emph{document privatization} に注目し、そこでは機密性の高いトークン、例えば個人識別可能な情報を含む文書をパラフレーズ化することで、攻撃者は高いテキスト品質を維持しながらパラフレーズ化されたドキュメントからそれらを確実に推測することができない。
プライバシ/ユーティリティのトレードオフは$\epsilon$でコントロールされており、$\epsilon=0$は機密トークンを完全に隠している。
提案手法は,理論的および実証的プライバシを大幅に改善し,関連するDPI手法よりも6-times$低いパープレキシティを実現したトークンレベルの民営化文書を作成する。
関連論文リスト
- Machine Learning with Privacy for Protected Attributes [56.44253915927481]
差分プライバシー(DP)の定義を洗練し、機能差分プライバシー(FDP)と呼ばれるより汎用的で柔軟なフレームワークを作成する。
私たちの定義はシミュレーションに基づいており、プライバシの追加/削除と置き換えの両方が可能で、保護された機能と非保護された機能の任意の分離を処理できます。
各種機械学習タスクにフレームワークを適用し,パブリック機能が利用可能であればDP学習モデルの実用性を大幅に向上させることができることを示す。
論文 参考訳(メタデータ) (2025-06-24T17:53:28Z) - Differentially Private In-context Learning via Sampling Few-shot Mixed with Zero-shot Outputs [13.790550802100842]
インコンテキスト学習(ICL)は、関連するインプット・アウトプット・サンプル(デモ)でプロンプトを増強することで改善できる。
ICLのデモには、プライバシーに敏感な情報が含まれており、LLM出力によってリークまたは/またはリグルギットすることができる。
ゼロショット出力と混合した複数のワンショット出力の積をサンプリングしてDPテキストを生成するデコードフレームワークである$textttdps-mozo$を提案する。
論文 参考訳(メタデータ) (2025-01-31T16:48:38Z) - Granularity is crucial when applying differential privacy to text: An investigation for neural machine translation [13.692397169805806]
差分プライバシー(DP)は、NLPでますます人気が高まっている。
DPが適用される粒度の選択はしばしば無視される。
以上の結果から, 文書レベルのNMTシステムは, メンバーシップ推論攻撃に対する耐性が高いことが示唆された。
論文 参考訳(メタデータ) (2024-07-26T14:52:37Z) - Mind the Privacy Unit! User-Level Differential Privacy for Language Model Fine-Tuning [62.224804688233]
差分プライバシ(DP)は、モデルが特定のプライバシユニットで「ほとんど区別できない」ことを保証することで、有望なソリューションを提供する。
ユーザ間でのプライバシー保護の確保に必要なアプリケーションによって動機づけられたユーザレベルのDPについて検討する。
論文 参考訳(メタデータ) (2024-06-20T13:54:32Z) - Privacy Amplification for the Gaussian Mechanism via Bounded Support [64.86780616066575]
インスタンスごとの差分プライバシー(pDP)やフィッシャー情報損失(FIL)といったデータ依存のプライバシ会計フレームワークは、固定されたトレーニングデータセット内の個人に対してきめ細かいプライバシー保証を提供する。
本稿では,データ依存会計下でのプライバシ保証を向上することを示すとともに,バウンドサポートによるガウス機構の簡単な修正を提案する。
論文 参考訳(メタデータ) (2024-03-07T21:22:07Z) - Differentially Private Synthetic Data via Foundation Model APIs 2: Text [56.13240830670327]
現実世界で生成された高品質なテキストデータはプライベートであり、プライバシー上の懸念から自由に共有したり、利用したりすることはできない。
テキストの複雑な設定に適用可能な拡張PEアルゴリズムであるAug-PEを提案する。
その結果, Aug-PE は SOTA DP の微調整ベースラインと競合する DP 合成テキストを生成することがわかった。
論文 参考訳(メタデータ) (2024-03-04T05:57:50Z) - Conciliating Privacy and Utility in Data Releases via Individual Differential Privacy and Microaggregation [4.287502453001108]
$epsilon$-Differential Privacy(DP)は、強力なプライバシ保証を提供するよく知られたプライバシモデルである。
被験者にDPと同じ保護を提供しながらデータ歪みを低減させるiDP ($epsilon$-individual differential privacy) を提案する。
本稿では,2次データ解析の精度を著しく低下させることのない保護データを提供しながら,我々のアプローチが強力なプライバシ(小額のepsilon$)を提供することを示す実験について報告する。
論文 参考訳(メタデータ) (2023-12-21T10:23:18Z) - Production of Categorical Data Verifying Differential Privacy:
Conception and Applications to Machine Learning [0.0]
差別化プライバシは、プライバシとユーティリティのトレードオフの定量化を可能にする正式な定義である。
ローカルDP(LDP)モデルでは、ユーザはデータをサーバに送信する前に、ローカルにデータをサニタイズすることができる。
いずれの場合も、微分プライベートなMLモデルは、非プライベートなモデルとほぼ同じユーティリティメトリクスを達成できると結論付けました。
論文 参考訳(メタデータ) (2022-04-02T12:50:14Z) - Privacy Amplification via Shuffling for Linear Contextual Bandits [51.94904361874446]
ディファレンシャルプライバシ(DP)を用いた文脈線形バンディット問題について検討する。
プライバシのシャッフルモデルを利用して,JDP と LDP のプライバシ/ユーティリティトレードオフを実現することができることを示す。
以上の結果から,ローカルプライバシを保ちながらシャッフルモデルを活用することで,JDPとDPのトレードオフを得ることが可能であることが示唆された。
論文 参考訳(メタデータ) (2021-12-11T15:23:28Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。