論文の概要: Model Stealing Through the Lens of Model Multiplicity
- arxiv url: http://arxiv.org/abs/2606.15493v1
- Date: Sat, 13 Jun 2026 22:35:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-16 16:21:33.659206
- Title: Model Stealing Through the Lens of Model Multiplicity
- Title(参考訳): モデル乗法レンズによるモデルステアリング
- Authors: Eliott Baltz, Satoshi Hara, Ulrich Aïvodji,
- Abstract要約: モデル盗難攻撃は、オリジナルのサービスプロバイダに匹敵する経済的レバレッジを敵に提供する可能性がある。
本稿では,対象モデルに対する単なる忠実性を超えたモデル盗難攻撃を評価することで,この仮定に挑戦する。
我々は、サロゲートモデルのラショモン集合(すなわち、ほぼ等しい精度のモデルの集合)を計算し、その多様性を多重度メトリクスを用いて評価する。
- 参考スコア(独自算出の注目度): 5.900714266080363
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Model stealing attacks, where adversaries create high-fidelity surrogate models, are a significant threat to the intellectual property of machine learning services. Conventional wisdom suggests these surrogates could provide adversaries with economic leverage comparable to the original service providers. This paper challenges this assumption by evaluating model stealing attacks beyond mere fidelity to the target model. Because query-based extraction provides only partial supervision of the target's input-output behavior, the surrogate is not uniquely identified: many near-optimal surrogates can achieve comparable fidelity while differing in deployment-relevant properties. Instead of performing a classic learning-based model stealing attack, we compute the Rashomon Set (i.e., the set of almost-equally-accurate models) of surrogate models, and evaluate its diversity using multiplicity metrics (ambiguity, discrepancy, and Rashomon Capacity) and group fairness metrics. Across tabular, medical imaging, and NLP tasks, our experiments on real-world datasets reveal that despite exhibiting similar fidelity to the target model, surrogate models can display significant variances in other critical performance metrics. These findings cast doubt on the presumed equivalence between high-fidelity surrogates and the target model in practical deployment scenarios.
- Abstract(参考訳): 敵が高忠実度サロゲートモデルを作成するモデル盗難攻撃は、機械学習サービスの知的財産権に対する重大な脅威である。
従来の知恵は、これらのサロゲートは、元のサービスプロバイダに匹敵する経済的レバレッジを敵に提供する可能性があることを示唆している。
本稿では,対象モデルに対する単なる忠実性を超えたモデル盗難攻撃を評価することで,この仮定に挑戦する。
クエリベースの抽出は、ターゲットの入出力動作を部分的に監視するだけであるため、サロゲートはユニークに識別されない。
古典的な学習に基づくモデル盗難攻撃を行う代わりに、サロゲートモデルのラショモンセット(すなわち、ほぼ同じ精度のモデルの集合)を計算し、その多様性を多変量(あいまいさ、不一致、ラショモン容量)とグループフェアネスメトリクスを用いて評価する。
表計算、医用画像、NLPのタスク全体にわたって、実世界のデータセットに対する実験により、ターゲットモデルに類似した忠実さを示すにもかかわらず、サロゲートモデルは他の重要なパフォーマンス指標に有意なばらつきを示すことが判明した。
これらの結果は, 実運用シナリオにおける高忠実度サロゲートとターゲットモデルとの等価性について疑念を抱いた。
関連論文リスト
- Holmes: Towards Effective and Harmless Model Ownership Verification to Personalized Large Vision Models via Decoupling Common Features [54.63343151319368]
本稿では、類似の共通特徴を分離し、パーソナライズされたモデルに対する無害モデルオーナシップ検証手法を提案する。
最初の段階では、データセット固有の機能を中断しながら、犠牲者モデルの共通の特徴を保持するシャドウモデルを作成します。
その後、メタ分類器が訓練され、被害者のデータセット固有の特徴を含む不審なモデルを決定することで、盗まれたモデルを特定する。
論文 参考訳(メタデータ) (2025-06-24T15:40:11Z) - A Robust Adversarial Ensemble with Causal (Feature Interaction) Interpretations for Image Classification [9.945272787814941]
本稿では,識別的特徴と生成的モデルを組み合わせた深層アンサンブルモデルを提案する。
提案手法は,特徴抽出のためのボトムレベル事前学習型識別ネットワークと,逆入力分布をモデル化したトップレベル生成型分類ネットワークを統合する。
論文 参考訳(メタデータ) (2024-12-28T05:06:20Z) - Adversarial Transferability in Deep Denoising Models: Theoretical Insights and Robustness Enhancement via Out-of-Distribution Typical Set Sampling [6.189440665620872]
深層学習に基づく画像認識モデルは優れた性能を示すが、ロバストネス分析の欠如は依然として重要な懸念点である。
主な問題は、これらのモデルが敵攻撃の影響を受けやすいことである。
本稿では,新たな対人防御手法であるOut-of-Distribution typical Set Smpling Training戦略を提案する。
論文 参考訳(メタデータ) (2024-12-08T13:47:57Z) - Model Stealing Attack against Graph Classification with Authenticity, Uncertainty and Diversity [80.16488817177182]
GNNは、クエリ許可を通じてターゲットモデルを複製するための悪行であるモデル盗難攻撃に対して脆弱である。
異なるシナリオに対応するために,3つのモデルステルス攻撃を導入する。
論文 参考訳(メタデータ) (2023-12-18T05:42:31Z) - MF-CLIP: Leveraging CLIP as Surrogate Models for No-box Adversarial Attacks [65.86360607693457]
敵に事前の知識がないノンボックス攻撃は、実際的な関連性にもかかわらず、比較的過小評価されている。
本研究は,大規模ビジョン・ランゲージ・モデル(VLM)をノンボックス・アタックの実行のための代理モデルとして活用するための体系的な研究である。
理論的および実証的な分析により,バニラCLIPを直接サロゲートモデルとして適用するための識別能力の不足に起因するno-boxアタックの実行に重要な制限があることが判明した。
MF-CLIP(MF-CLIP: MF-CLIP)はCLIPのサロゲートモデルとしての有効性を高める新しいフレームワークである。
論文 参考訳(メタデータ) (2023-07-13T08:10:48Z) - Training Meta-Surrogate Model for Transferable Adversarial Attack [98.13178217557193]
クエリーを許可しない場合、ブラックボックスモデルに対する逆攻撃を考える。
この設定では、多くの手法が代理モデルを直接攻撃し、得られた敵の例をターゲットモデルを騙すために転送する。
メタサロゲートモデル(Meta-Surrogate Model:MSM)は,このモデルに対する攻撃が,他のモデルに容易に転送できることを示す。
論文 参考訳(メタデータ) (2021-09-05T03:27:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。