論文の概要: Auditing Privacy in Multi-Tenant RAG under Account Collusion
- arxiv url: http://arxiv.org/abs/2605.19847v1
- Date: Tue, 19 May 2026 13:41:59 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-20 15:03:09.376545
- Title: Auditing Privacy in Multi-Tenant RAG under Account Collusion
- Title(参考訳): マルチテナントRAGにおけるプライバシ監査
- Authors: Florian A. D. Burnat, Brittany I. Davidson,
- Abstract要約: マルチテナント検索拡張生成サービスは、ログ単位の差分プライバシーを操作リーク境界として宣伝する。
我々は、同一インデックスのマルチアカウント共謀をプライバシ境界障害とみなす。
修正されていないRAGデプロイメントに対して動作する最初の監査プロトコルを設計する。
- 参考スコア(独自算出の注目度): 1.253312107729806
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Multi-tenant retrieval-augmented generation (RAG) services advertise per-account differential privacy as the operative leakage boundary: each account's queries are guaranteed to satisfy $(\varepsilon_{\text{acc}}, δ_{\text{acc}})$-DP with respect to the index. We identify same-index multi-account collusion as a privacy-boundary failure: for $k$ same-tenant accounts coordinating against the tenant's index -- the operative regime -- known DP composition theory implies joint leakage degrades unconditionally at rate $Θ(\sqrt{k} \cdot \varepsilon_{\text{acc}})$ for Gaussian-noised retrieval. Cross-tenant and external collusion match the rate only under explicit access-control failure (M4); without M4 these regimes have zero leakage by design and reduce to an architectural audit, not a DP audit. We exhibit an attack realizing the rate and derive a RAG-specific MIA prediction we test empirically. To make this per-account/joint gap auditable, we design the first audit protocol that operates against unmodified RAG deployments and issues a quantitative $(\textsf{PASS}, \varepsilon_{\text{audit}})$ verdict for the retrieval-score channel -- the noise-then-select step the per-account DP guarantee actually covers -- without index disclosure, pipeline redesign, or model-weight exposure. Generation-channel privacy (LLM output conditioned on selected documents) is a separate audit predicate that should compose with ours; we explicitly scope it out. The protocol composes generic cryptographic primitives (Merkle ledgers, ZK function-application proofs, Gaussian noise attestations) with six RAG-specific primitives (embedder commitment, index-content vector commitment, per-account query ledger, noise-then-select attestation, cross-tenant containment proof, coalition-size estimator) and supports both closed-form audit bounds and Rényi-DP moments-accountant tracking.
- Abstract(参考訳): マルチテナント検索拡張世代(RAG)サービスは、アカウントごとの差分プライバシーを操作上のリーク境界として宣伝する:各アカウントのクエリは、インデックスに関して$(\varepsilon_{\text{acc}}, δ_{\text{acc}})$-DPを満たすことが保証される。
例えば、$k$の同一テナントアカウントがテナントのインデックスと協調している場合、オペレーショナルシステマティクス - 既知のDP合成理論では、共同リークは非条件で低下するが、そのレートは$000(\sqrt{k} \cdot \varepsilon_{\text{acc}})$である。
M4がなければ、これらの制度は設計によるリークをゼロとし、DP監査ではなくアーキテクチャ監査に還元される。
実験の結果,RAG固有のMIA予測が得られた。
このカウント/ジョイントギャップを監査可能にするために、修正されていないRAGデプロイメントに対して運用する最初の監査プロトコルを設計し、定量$(\textsf{PASS}, \varepsilon_{\text{audit}})$ verdict for the search-score channel -- the noise-then-select step the per-account DP guarantee actually cover -- without index disclosure, pipeline redesign, or model-weight exposure。
ジェネレーションチャネルのプライバシ(LLM出力を選択されたドキュメントで条件付けした)は、当社で構成すべき監査述語である。
このプロトコルは、汎用暗号プリミティブ(Merkle ledgers、ZK関数アプリケーション証明、ガウス雑音検査)と、6つのRAG固有のプリミティブ(エンベッドダーコミットメント、インデックスコンテントベクトルコミットメント、アカウントごとのクエリ台帳、ノイズ-then-select attestation、クロステナント封じ込め証明、連立サイズ推定器)で構成され、クローズドフォーム監査境界とRényi-DPモーメント対応の両方をサポートする。
関連論文リスト
- A Benchmark for Strategic Auditee Gaming Under Continuous Compliance Monitoring [1.253312107729806]
継続的デプロイ後のコンプライアンス監査は、戦略的なゲームのクラスを作成します。
我々は,時間的方針にコミットする監査者と適応監査人との間に,$T$ラウンドのStackelbergゲームとして継続的監査を形式化する。
論文 参考訳(メタデータ) (2026-05-07T14:28:34Z) - Correction and Corruption: A Two-Rate View of Error Flow in LLM Protocols [51.56484100374058]
そこで本研究では,単一プロトコルステップを正確なマッチングタスクで監査するためのペアアウトカム計測インタフェースを提案する。
各インスタンスについて、インターフェースはベースラインの正当性ビットと後ステップの正当性ビットを記録する。
これらのレートは精度の変化を予測し、種、混合物、パイプライン間でテスト可能な再利用可能な経験的インターフェースを定義する。
論文 参考訳(メタデータ) (2026-04-20T13:25:40Z) - IMMACULATE: A Practical LLM Auditing Framework via Verifiable Computation [49.796717294455796]
経済的なモチベーションのある逸脱を検出するための実践的な監査フレームワークIMMACULATEを提案する。
IMMACULATEは、検証可能な計算を用いて少数のリクエストを選択的に監査し、暗号オーバーヘッドを償却しながら強力な検出保証を達成する。
論文 参考訳(メタデータ) (2026-02-26T07:21:02Z) - Sequential Auditing for f-Differential Privacy [5.7992233755396505]
出力サンプルに基づくアルゴリズムの差分プライバシー(DP)を評価するための新しい監査者を提案する。
私たちは、非常に表現力豊かなプライバシー概念である$f$-DPに焦点を移します。
論文 参考訳(メタデータ) (2026-02-06T09:22:24Z) - Tight and Practical Privacy Auditing for Differentially Private In-Context Learning [11.394805414546903]
大規模言語モデル(LLM)は、しばしばプライベートまたはプロプライエタリなデータを含むプロンプトデモからタスクに適応することで、コンテキスト内学習(ICL)を実行する。
本稿では,DP-ICLシステムに対する厳密で効率的なプライバシ監査フレームワークを提案する。
標準テキスト分類および生成ベンチマークの実験により,我々の経験的リーク推定値が分類タスクの理論的DP予算と密接に一致し,保守的な埋め込み感度境界による生成タスクが一貫して低下していることが示されている。
論文 参考訳(メタデータ) (2025-11-17T15:39:54Z) - Audit the Whisper: Detecting Steganographic Collusion in Multi-Agent LLMs [0.0]
Audit the Whisperは、理論、ベンチマーク設計、検出、検証にまたがるカンファレンスグレードの研究成果物である。
i) パラフレーズ, レート制限, 役割置換などの介入が, ペアリングしたKullback-Leibler診断によって定量的なペナルティの操作を課すことを示すチャネル容量分析を行った。
我々は、匿名化された再生スクリプト、匿名化されたマニフェスト、ドキュメントをリリースし、外部監査官がすべての図を再現し、二重盲検要件を満たし、最小限の努力でフレームワークを拡張します。
論文 参考訳(メタデータ) (2025-10-05T17:51:52Z) - Unsupervised Conformal Inference: Bootstrapping and Alignment to Control LLM Uncertainty [49.19257648205146]
生成のための教師なし共形推論フレームワークを提案する。
我々のゲートは、分断されたUPPよりも厳密で安定した閾値を提供する。
その結果は、ラベルのない、API互換の、テスト時間フィルタリングのゲートになる。
論文 参考訳(メタデータ) (2025-09-26T23:40:47Z) - COIN: Uncertainty-Guarding Selective Question Answering for Foundation Models with Provable Risk Guarantees [51.5976496056012]
COINは、統計的に有効な閾値を校正し、質問毎に1つの生成された回答をフィルタリングする不確実性保護選択フレームワークである。
COINはキャリブレーションセット上で経験的誤差率を推定し、信頼区間法を適用して真誤差率に高い確率上界を確立する。
リスク管理におけるCOINの堅牢性,許容回答を維持するための強いテストタイムパワー,キャリブレーションデータによる予測効率を実証する。
論文 参考訳(メタデータ) (2025-06-25T07:04:49Z) - Towards Copyright Protection for Knowledge Bases of Retrieval-augmented Language Models via Reasoning [58.57194301645823]
大規模言語モデル(LLM)は、現実のパーソナライズされたアプリケーションにますます統合されている。
RAGで使用される知識基盤の貴重かつしばしばプロプライエタリな性質は、敵による不正使用のリスクをもたらす。
これらの知識基盤を保護するための透かし技術として一般化できる既存の方法は、一般的に毒やバックドア攻撃を含む。
我々は、無害な」知識基盤の著作権保護の名称を提案する。
論文 参考訳(メタデータ) (2025-02-10T09:15:56Z) - On the Privacy of Selection Mechanisms with Gaussian Noise [44.577599546904736]
ガウス雑音によるReport Noisy MaxとAbove Thresholdの分析を再検討する。
その結果,Report Noisy Max の純元 DP 境界と Above Threshold の純元 DP 境界を提供することが可能であることがわかった。
論文 参考訳(メタデータ) (2024-02-09T02:11:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。