SAMA: Membership Inference Attacks Against Fine-tuned Diffusion Language Models¶
约 1868 个字 8 张图片 预计阅读时间 6 分钟
作者:Yuetian Chen、Kaiyuan Zhang、Yuntao Du、Edoardo Stoppa,Charles Fleming、Ashish Kundu,Bruno Ribeiro、Ninghui Li
1. 背景与动机¶
1.1 成员推理攻击与 LLM 隐私¶
成员推理攻击(Membership Inference Attack, MIA)旨在判断某条文本是否出现在目标模型的训练集中。对微调后的大语言模型而言,这类攻击是量化隐私泄露风险的主要基准之一。
常见评估指标包括 AUC、TPR@低 FPR(如 10%、1%、0.1%)等。其中低 FPR 下的 TPR 更贴近实际部署场景:攻击者希望在几乎不误判的前提下,尽可能多地识别出训练成员。
1.2 自回归模型与扩散语言模型¶
当前 LLM 仍以自回归模型(ARM)为主:按从左到右的顺序逐 token 预测。近年来扩散语言模型(DLM)快速兴起,代表工作包括 LLaDA、Dream,以及 Google 的 Gemini Diffusion 等。
DLM 采用掩码-预测(Mask-and-Predict)范式:随机遮盖部分 token,再借助双向上下文重建被掩码位置。相比 ARM,DLM 在生成速度、可控性以及缓解逆转诅咒等方面具有潜在优势。
1.3 研究空白¶
ARM 上的 MIA 已有大量研究(Loss、LiRA、Min-K%、ReCall 等),但DLM 的隐私脆弱性几乎未被系统探索。二者架构差异显著:
| 维度 | ARM | DLM |
|---|---|---|
| 预测方向 | 单向(左→右) | 双向 |
| 上下文配置 | 每个 token 仅一种 | 掩码子集 \(S \subseteq [L]\) 可指数级组合 |
| 成员信号 | 固定、单一 | 依赖掩码配置,稀疏且高方差 |
核心问题:DLM 的多掩码配置是否引入了可被 MIA 利用的新漏洞?本文聚焦微调场景——此处记忆化与隐私风险通常被放大。
2. SAMA 方法¶
2.1 威胁模型¶
采用灰盒、基于参考模型的设置:
-
攻击者可向目标模型 \(\mathcal{M}^T_{DF}\) 提交任意部分掩码序列,并获得指定位置的 logits / 概率;
-
同时拥有与目标模型同族的预训练参考模型\(\mathcal{M}^R_{DF}\),用于隔离微调引入的记忆化;
-
无法访问模型参数、梯度或内部激活。
2.2 ARM 与 DLM 中的成员信号¶
对文本序列 \(x\),成员信号定义为参考模型与微调目标模型之间的损失差异。
ARM 中信号由自回归分解唯一确定:
其中 \(\ell_i = -\log p(x_i \mid x_{<i})\)。每个 token 位置只有一种上下文,无法探测双向关系。
DLM 中信号取决于掩码配置 \(\mathcal{S}\):
其中 \(\ell_i(x, \mathcal{S}) = -\log p(x_i \mid x_{-\mathcal{S}})\)。
机遇:可收集 \(\{\Delta_{DF}(x; \mathcal{S}_1), \Delta_{DF}(x; \mathcal{S}_2), \ldots\}\) 等多组独立探测;双向上下文还能检验 ARM 中不可见的 token 关系(如逆转诅咒相关模式)。
挑战:成员信号稀疏且配置相关——只有掩码恰好隐藏可记忆 token 时才显著;单一随机掩码大概率落入噪声区。
在 ArXiv 数据集上,对每个样本评估 100 种随机掩码配置后发现:
- 非成员信号以零为中心,成员信号整体右移;
- 仅因改变掩码配置引起的样本内方差(\(\sigma \approx 0.10\))已超过成员与非成员的平均边际(\(\delta \approx 0.06\))。
因此需要多配置探测 + 稳健聚合,而非单次估计。
2.3 SAMA 总体框架¶
SAMA(Subset-Aggregated Membership Attack,子集聚合成员攻击)将稀疏记忆化检测转化为稳健的投票机制,包含三个组件:
-
渐进掩码:在 \(T\) 步上从 \(\alpha_{\min}=5\%\) 到 \(\alpha_{\max}=50\%\) 逐步增加掩码密度,在多尺度上收集证据;
-
稳健子集聚合:每步从掩码位置采样 \(N\) 个大小为 \(m\) 的 token 子集,对局部损失差异做符号聚合(只保留正负方向,丢弃幅度);
-
自适应加权:以逆步权重 \(w_t = (1/t) / H\) 优先稀疏掩码的清晰信号。
最终成员分数:
算法整体架构:
2.4 为何采用符号聚合¶
传统 MIA 对掩码配置做蒙特卡洛平均:
这在 DLM 上效果有限,原因有二:
-
配置内:并非所有被掩码 token 都携带实例级记忆化信号,领域适应效应(如高频领域词)会产生极端损失值,淹没真实信号;
-
配置间:稀疏掩码信噪比高但聚合点少,密集掩码反之;简单平均无法兼顾。
符号聚合 \(\mathbf{1}[\Delta > 0]\) 对重尾噪声具有稳健性:非成员时该指示器以 0.5 概率为 1;成员在命中有效配置时一致推向 1。即使噪声方差未定义,该性质仍成立(Hodges-Lehmann 类结论)。
3. 实验与结果¶
3.1 实验设置¶
-
模型:LLaDA-8B-Base、Dream-v0-7B-Base;预训练版本作参考模型;
-
数据集:MIMIR 六个领域(ArXiv、GitHub、HackerNews、PubMed Central、Wikipedia、Pile CC),以及 WikiText-103、AG News、XSum;
-
SAMA 超参:\(T=16\) 步,\(\alpha \in [5\%, 50\%]\),每步 \(N=128\) 个子集,子集大小 \(m=10\);
-
基线(12 个):Loss、ZLIB、Lowercase、Neighbor、Min-K%、Min-K%++、ReCall、CON-ReCall、BoWs、Ratio(自回归 MIA);SecMI、PIA(图像扩散 MIA 改编);
-
指标:AUC,TPR@10%/1%/0.1% FPR;所有方法统一 \(T=16\) 查询预算。
微调后模型在测试集困惑度与 LLM-as-a-Judge 评分上均保持可用性,排除仅过拟合、无泛化的伪阳性。
3.2 主要结果¶
SAMA 在全部数据集与指标上一致显著优于基线:
-
平均 AUC 0.81,最佳基线 Ratio 为 0.62,相对提升约 30%;
-
TPR@1%FPR:SAMA 平均 0.16,最佳基线仅 0.04,约 4 倍;部分设置下可达 8 倍;
-
GitHub(记忆化最强):AUC 0.88,TPR@10%FPR 0.65;Ratio 分别为 0.74 与 0.36。
关键发现:面向 ARM 的传统 MIA 在 DLM 上 AUC 接近随机(≈0.50);图像扩散改编方法 SecMI、PIA 亦几乎无效(AUC ≈0.52)。这说明 DLM 需要专门考虑稀疏、配置相关信号的攻击设计。
3.3 消融实验¶
从基线 Loss 攻击(AUC ≈0.5)逐步叠加组件:
| 组件 | AUC 增益 |
|---|---|
| + 参考模型校准 | +0.09 ~ +0.19 |
| + 渐进掩码 | +2 ~ 3% |
| + 稳健子集聚合(符号投票) | +20 ~ 30% |
| + 自适应加权 | +3 ~ 5% |
符号聚合是最大贡献项;校准与渐进掩码提供必要但较小的补充。
3.4 超参数敏感性¶
-
步数 \(T\):从 1 增至 16,AUC 从 0.741 升至 0.805;\(T=48\) 可进一步到 0.845,默认取 16 平衡效果与查询成本;
-
子集大小 \(m\):\(m=10\) 为稳健默认;更大子集(如 32)在长上下文域上可再提升;
-
子集数 \(N\):\(N \ge 32\) 后收益趋于饱和,默认 128 保证稳健性。
4. 防御与其他分析¶
4.1 隐私保护微调¶
-
LoRA:秩 \(r=256\) 时 AUC 从 0.850 降至 0.528,但困惑度上升;需在隐私与效用间权衡;
-
DP-LoRA(\(\epsilon=0.01\)):AUC 接近 0.50,攻击近乎失效,代价是 PPL 升高;
-
温度缩放:\(T=1.5\) 时 SAMA AUC 降至 0.776,但生成质量严重受损;SAMA 相对 Ratio 的鲁棒性反而更强;
-
SOFT 数据混淆:改写约 15% 高影响样本后,SAMA AUC 降至 0.499,接近随机,且保持模型效用。
4.2 参考模型未对齐¶
当理想参考(同架构预训练基础模型)不可用时,SAMA 性能随未对齐程度平滑下降,但即使使用架构不同的 Dream-v0-7B-Base 作参考,仍优于未校准基线。
5. 总结¶
SAMA 是首个针对微调 DLM 的系统化 MIA 框架。论文揭示:DLM 的双向、多掩码机制创造了 ARM 中不存在的可利用记忆化模式;通过渐进掩码、符号投票与逆步加权,SAMA 将稀疏信号检测转化为稳健聚合问题,在九个数据集上大幅超越现有基线。
局限:方法针对掩码-预测式 DLM;依赖兼容的参考模型与分词器;符号聚合丢弃幅度信息,可能损失部分区分度。
启示:随着 LLaDA、Dream 等 DLM 走向应用,隐私防御不能简单移植 ARM 方案,需要面向配置相关、重尾噪声特授性的专门设计(如 DP-LoRA、SOFT 等方向)。
6. 参考文献¶
-
Chen et al. Membership Inference Attacks Against Fine-tuned Diffusion Language Models. ICLR 2026.
-
Shokri et al. Membership Inference Attacks Against Machine Learning Models. IEEE S&P 2017.
-
Carlini et al. Membership Inference Attacks From First Principles. IEEE S&P 2022.
-
Nie et al. Large Language Diffusion Models. 2025.
-
Ye et al. Dream 7B: Diffusion Large Language Models. 2025.
-
Duan et al. Do Membership Inference Attacks Work on Large Language Models?. ACL 2024.
-
Fu et al. Practical Membership Inference Attacks Against Fine-tuned Large Language Models via Self-prompt Calibration. USENIX Security 2024.
-
Watson et al. On the Importance of Difficulty Calibration for Membership Inference Attacks. ICLR 2022.
-
Duan et al. Are Diffusion Models Vulnerable to Membership Inference Attacks?. ICML 2023.
-
Kong et al. An Efficient Membership Inference Attack for the Diffusion Model by Proximal Initialization. ICCV 2023.
-
Hu et al. LoRA: Low-Rank Adaptation of Large Language Models. ICLR 2022.
-
Liu et al. Differentially Private Low-Rank Adaptation of Large Language Model Using Federated Learning. 2024.
-
Zhang et al. SOFT: Selective Data Obfuscation for Protecting LLM Fine-tuning Against Membership Inference Attacks. USENIX Security 2025.







