Атаки вывода информации о членстве без доступа к модели

Атаки вывода информации о членстве (Membership Inference Attacks, MIA) стремятся определить, использовался ли конкретный образец данных при обучении модели машинного обучения. Традиционно MIA требуют доступа к целевой модели или её выходным данным. Однако в реальных сценариях часто возникают ситуации, когда целевая модель недоступна, а для атаки предоставляются только предсказания модели.

В этой работе исследуется новая парадигма атак вывода информации о членстве, где отсутствует доступ к входным данным или целевой модели, и доступно только предсказание модели. Предлагается метод, который использует векторы эмбеддингов, подогнанные к модели. Этот метод работает, сравнивая расстояние между эмбеддингами входных данных и эмбеддингами, сгенерированными на основе предсказаний модели.

Авторы показали, что предложенный метод эффективен против различных моделей машинного обучения, включая нейронные сети и машины опорных векторов, и демонстрирует превосходные результаты по сравнению с существующими подходами, когда целевая модель недоступна. Эксперименты проводились на различных наборах данных, включая MNIST, CIFAR-10 и ImageNet. Результаты показывают, что предложенный метод способен с высокой точностью определять, был ли конкретный образец данных использован при обучении модели, даже если целевая модель недоступна, а для атаки используются только предсказания модели.