論文の概要: Reminiscence Attack on Residuals: Exploiting Approximate Machine Unlearning for Privacy
- arxiv url: http://arxiv.org/abs/2507.20573v1
- Date: Mon, 28 Jul 2025 07:12:12 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-29 16:23:57.959786
- Title: Reminiscence Attack on Residuals: Exploiting Approximate Machine Unlearning for Privacy
- Title(参考訳): Reminiscence Attack on Residuals: Exploiting Approximate Machine Unlearning for Privacy
- Authors: Yaxin Xiao, Qingqing Ye, Li Hu, Huadi Zheng, Haibo Hu, Zi Liang, Haoyang Li, Yijie Jiao,
- Abstract要約: 非学習アルゴリズムは、未学習データのプライバシーを適切に保護できないことを示す。
本稿では,残余と会員のプライバシーの相関を増幅するReminiscence Attack (ReA)を提案する。
我々は,まず深層無学習データトレースを除去し,収束安定性を強制する二相近似学習フレームワークを開発した。
- 参考スコア(独自算出の注目度): 18.219835803238837
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Machine unlearning enables the removal of specific data from ML models to uphold the right to be forgotten. While approximate unlearning algorithms offer efficient alternatives to full retraining, this work reveals that they fail to adequately protect the privacy of unlearned data. In particular, these algorithms introduce implicit residuals which facilitate privacy attacks targeting at unlearned data. We observe that these residuals persist regardless of model architectures, parameters, and unlearning algorithms, exposing a new attack surface beyond conventional output-based leakage. Based on this insight, we propose the Reminiscence Attack (ReA), which amplifies the correlation between residuals and membership privacy through targeted fine-tuning processes. ReA achieves up to 1.90x and 1.12x higher accuracy than prior attacks when inferring class-wise and sample-wise membership, respectively. To mitigate such residual-induced privacy risk, we develop a dual-phase approximate unlearning framework that first eliminates deep-layer unlearned data traces and then enforces convergence stability to prevent models from "pseudo-convergence", where their outputs are similar to retrained models but still preserve unlearned residuals. Our framework works for both classification and generation tasks. Experimental evaluations confirm that our approach maintains high unlearning efficacy, while reducing the adaptive privacy attack accuracy to nearly random guess, at the computational cost of 2-12% of full retraining from scratch.
- Abstract(参考訳): 機械学習により、MLモデルから特定のデータを削除することで、忘れられる権利を維持できる。
近似的なアンラーニングアルゴリズムは、完全なリトレーニングに代わる効率的な代替手段を提供するが、この研究は、未学習データのプライバシーを適切に保護できないことを明らかにしている。
特に、これらのアルゴリズムは暗黙の残差を導入し、未学習のデータをターゲットとしたプライバシー攻撃を容易にする。
モデルアーキテクチャ,パラメータ,未学習アルゴリズムに関わらず,これらの残差が持続し,従来の出力ベースリークを超えて新たな攻撃面が露出する。
そこで本研究では,Reminiscence Attack (ReA) を提案する。
ReAは、クラスワイドとサンプルワイドのメンバシップをそれぞれ推測する際に、前回の攻撃よりも最大1.90倍と1.12倍高い精度を達成する。
このような残差によるプライバシーリスクを軽減するために、我々は、まず深層無学習データトレースを除去し、その後収束安定を強制し、モデルが再学習されたモデルと類似しているが、未学習の残差を保存できるような「擬似収束」を防ぐ二相近似学習フレームワークを開発する。
私たちのフレームワークは分類と生成の両方に役立ちます。
実験により,適応型プライバシ攻撃の精度をほぼランダムに推定し,スクラッチからの完全再トレーニングの2-12%の計算コストで高い非学習効率を維持していることを確認した。
関連論文リスト
- Lie Detector: Unified Backdoor Detection via Cross-Examination Framework [68.45399098884364]
半正直な設定で一貫したバックドア検出フレームワークを提案する。
本手法は,SoTAベースラインよりも5.4%,1.6%,11.9%の精度で検出性能が向上する。
特に、マルチモーダルな大規模言語モデルにおいて、バックドアを効果的に検出するのは、これが初めてである。
論文 参考訳(メタデータ) (2025-03-21T06:12:06Z) - Pseudo-Probability Unlearning: Towards Efficient and Privacy-Preserving Machine Unlearning [59.29849532966454]
本稿では,PseudoProbability Unlearning (PPU)を提案する。
提案手法は,最先端の手法に比べて20%以上の誤りを忘れる改善を実現している。
論文 参考訳(メタデータ) (2024-11-04T21:27:06Z) - Nonlinear Transformations Against Unlearnable Datasets [4.876873339297269]
自動スクラップは、データ所有者の許可なしにディープラーニングモデルのデータを収集する一般的な方法として際立っている。
近年,このデータ収集手法に関するプライバシー問題に取り組み始めている。
学習不可能(unlearnable)な例と呼ばれるこれらのアプローチによって生成されたデータは、ディープラーニングモデルによって"学習"される。
論文 参考訳(メタデータ) (2024-06-05T03:00:47Z) - Hessian-Free Online Certified Unlearning [8.875278412741695]
ほぼ瞬時にデータを除去するオンライン・アンラーニングアルゴリズムを開発した。
提案手法は,非学習および一般化保証の観点から,最先端の手法よりも優れていることを示す。
論文 参考訳(メタデータ) (2024-04-02T07:54:18Z) - Learning to Unlearn: Instance-wise Unlearning for Pre-trained
Classifiers [71.70205894168039]
そこでは、事前訓練されたモデルからインスタンスのセットに関する情報を削除することを目標としています。
本稿では,1)表現レベルでの忘れを克服するために,敵の例を活用すること,2)不必要な情報を伝播するネットワークパラメータをピンポイントする重み付け指標を活用すること,の2つの方法を提案する。
論文 参考訳(メタデータ) (2023-01-27T07:53:50Z) - Risk Minimization from Adaptively Collected Data: Guarantees for
Supervised and Policy Learning [57.88785630755165]
経験的リスク最小化(Empirical Risk Minimization, ERM)は、機械学習のワークホースであるが、適応的に収集されたデータを使用すると、そのモデルに依存しない保証が失敗する可能性がある。
本研究では,仮説クラス上での損失関数の平均値を最小限に抑えるため,適応的に収集したデータを用いた一般的な重み付きERMアルゴリズムについて検討する。
政策学習では、探索がゼロになるたびに既存の文献のオープンギャップを埋める率-最適後悔保証を提供する。
論文 参考訳(メタデータ) (2021-06-03T09:50:13Z) - Continual Learning for Fake Audio Detection [62.54860236190694]
本論文では,連続学習に基づく手法である忘れずに偽物を検出することで,モデルに新たなスプーフィング攻撃をインクリメンタルに学習させる手法を提案する。
ASVspoof 2019データセットで実験が行われる。
論文 参考訳(メタデータ) (2021-04-15T07:57:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。