論文の概要: A Systematic Study of Model Extraction Attacks on Graph Foundation Models
- arxiv url: http://arxiv.org/abs/2511.11912v1
- Date: Fri, 14 Nov 2025 22:43:42 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-11-18 14:36:23.389683
- Title: A Systematic Study of Model Extraction Attacks on Graph Foundation Models
- Title(参考訳): グラフ基礎モデルに基づくモデル抽出攻撃の系統的研究
- Authors: Haoyan Xu, Ruizhi Qian, Jiate Li, Yushun Dong, Minghao Lin, Hanson Yan, Zhengtao Yao, Qinghua Liu, Junhao Dong, Ruopeng Huang, Yue Zhao, Mengyuan Li,
- Abstract要約: 本稿では,グラフ基礎モデル(GFM)に対するモデル抽出攻撃(MEAs)の最初の系統的研究について述べる。
本稿では,グラフ埋め込みの教師付き回帰を用いて攻撃者エンコーダを訓練する軽量抽出手法を提案する。
実験の結果、攻撃者は元のトレーニングコストのごく一部しか使わず、ほとんど精度を損なうことなく、被害者モデルを近似できることがわかった。
- 参考スコア(独自算出の注目度): 32.616928898012624
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Graph machine learning has advanced rapidly in tasks such as link prediction, anomaly detection, and node classification. As models scale up, pretrained graph models have become valuable intellectual assets because they encode extensive computation and domain expertise. Building on these advances, Graph Foundation Models (GFMs) mark a major step forward by jointly pretraining graph and text encoders on massive and diverse data. This unifies structural and semantic understanding, enables zero-shot inference, and supports applications such as fraud detection and biomedical analysis. However, the high pretraining cost and broad cross-domain knowledge in GFMs also make them attractive targets for model extraction attacks (MEAs). Prior work has focused only on small graph neural networks trained on a single graph, leaving the security implications for large-scale and multimodal GFMs largely unexplored. This paper presents the first systematic study of MEAs against GFMs. We formalize a black-box threat model and define six practical attack scenarios covering domain-level and graph-specific extraction goals, architectural mismatch, limited query budgets, partial node access, and training data discrepancies. To instantiate these attacks, we introduce a lightweight extraction method that trains an attacker encoder using supervised regression of graph embeddings. Even without contrastive pretraining data, this method learns an encoder that stays aligned with the victim text encoder and preserves its zero-shot inference ability on unseen graphs. Experiments on seven datasets show that the attacker can approximate the victim model using only a tiny fraction of its original training cost, with almost no loss in accuracy. These findings reveal that GFMs greatly expand the MEA surface and highlight the need for deployment-aware security defenses in large-scale graph learning systems.
- Abstract(参考訳): グラフ機械学習はリンク予測、異常検出、ノード分類といったタスクで急速に進歩している。
モデルがスケールアップするにつれて、事前訓練されたグラフモデルは、広範囲の計算とドメインの専門知識をエンコードするため、貴重な知的資産となりました。
これらの進歩に基づいて、グラフ財団モデル(GFMs)は、大規模で多様なデータに対して、グラフとテキストエンコーダを共同で事前学習することで、大きな一歩を踏み出した。
これは構造的および意味的理解を統一し、ゼロショット推論を可能にし、不正検出やバイオメディカル分析などのアプリケーションをサポートする。
しかし、GFMの事前訓練コストが高く、クロスドメインの知識が広いことから、モデル抽出攻撃(MEAs)の魅力的な標的にもなっている。
これまでの研究は、単一のグラフでトレーニングされた小さなグラフニューラルネットワークのみに重点を置いてきた。
本稿では, GFMに対するMEAの最初の系統的研究について述べる。
ブラックボックス脅威モデルを形式化し、ドメインレベルとグラフ固有の抽出目標、アーキテクチャミスマッチ、クエリ予算の制限、部分ノードアクセス、データ格差のトレーニングを含む6つの実用的な攻撃シナリオを定義する。
これらの攻撃をインスタンス化するために,グラフ埋め込みの教師付き回帰を用いて攻撃者エンコーダを訓練する軽量抽出手法を提案する。
対照的な事前学習データなしでも、被害者のテキストエンコーダと一致しないエンコーダを学習し、そのゼロショット推論能力を未知のグラフ上に保持する。
7つのデータセットの実験では、攻撃者は元のトレーニングコストのごく一部しか使用せず、精度をほぼ損なうことなく、被害者モデルを近似することができる。
これらの結果から,GFMはMEAの表面を大きく拡大し,大規模グラフ学習システムにおけるデプロイメント対応のセキュリティ防衛の必要性を強調した。
関連論文リスト
- Intellectual Property in Graph-Based Machine Learning as a Service: Attacks and Defenses [57.9371204326855]
この調査は、GMLモデルとグラフ構造化データの両方のレベルで、脅威と防御の最初の分類を体系的に導入する。
本稿では,IP保護手法の有効性を評価し,ベンチマークデータセットのキュレートしたセットを導入し,その適用範囲と今後の課題について論じるシステム評価フレームワークを提案する。
論文 参考訳(メタデータ) (2025-08-27T07:37:52Z) - Graph Transductive Defense: a Two-Stage Defense for Graph Membership Inference Attacks [50.19590901147213]
グラフニューラルネットワーク(GNN)は、さまざまな現実世界のアプリケーションにおいて、強力なグラフ学習機能を提供する。
GNNは、メンバーシップ推論攻撃(MIA)を含む敵攻撃に対して脆弱である
本稿では,グラフトランスダクティブ学習特性に合わせて,グラフトランスダクティブ・ディフェンス(GTD)を提案する。
論文 参考訳(メタデータ) (2024-06-12T06:36:37Z) - Efficient Model-Stealing Attacks Against Inductive Graph Neural Networks [4.552065156611815]
グラフニューラルネットワーク(GNN)は、グラフ構造で組織された実世界のデータを処理するための強力なツールとして認識されている。
事前に定義されたグラフ構造に依存しないグラフ構造化データの処理を可能にするインダクティブGNNは、広範囲のアプリケーションにおいてますます重要になりつつある。
本稿では,誘導型GNNに対して教師なしモデルステアリング攻撃を行う新しい手法を提案する。
論文 参考訳(メタデータ) (2024-05-20T18:01:15Z) - GraphGuard: Detecting and Counteracting Training Data Misuse in Graph
Neural Networks [69.97213941893351]
グラフデータ分析におけるグラフニューラルネットワーク(GNN)の出現は、モデルトレーニング中のデータ誤用に関する重要な懸念を引き起こしている。
既存の手法は、データ誤用検出または緩和のいずれかに対応しており、主にローカルGNNモデル用に設計されている。
本稿では,これらの課題に対処するため,GraphGuardという先駆的なアプローチを導入する。
論文 参考訳(メタデータ) (2023-12-13T02:59:37Z) - Model Inversion Attacks against Graph Neural Networks [65.35955643325038]
グラフニューラルネットワーク(GNN)に対するモデル反転攻撃について検討する。
本稿では,プライベートトレーニンググラフデータを推測するためにGraphMIを提案する。
実験の結果,このような防御効果は十分ではないことが示され,プライバシー攻撃に対するより高度な防御が求められている。
論文 参考訳(メタデータ) (2022-09-16T09:13:43Z) - GraphMI: Extracting Private Graph Data from Graph Neural Networks [59.05178231559796]
GNNを反転させてトレーニンググラフのプライベートグラフデータを抽出することを目的とした textbfGraph textbfModel textbfInversion attack (GraphMI) を提案する。
具体的には,グラフ特徴の空間性と滑らかさを保ちながら,グラフエッジの離散性に対処する勾配モジュールを提案する。
エッジ推論のためのグラフトポロジ、ノード属性、ターゲットモデルパラメータを効率的に活用するグラフ自動エンコーダモジュールを設計する。
論文 参考訳(メタデータ) (2021-06-05T07:07:52Z) - Graph Backdoor [53.70971502299977]
GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。
GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。
トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
論文 参考訳(メタデータ) (2020-06-21T19:45:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。