大規模言語モデルのメンバーシップ推論攻撃に対するサンプリングベースの擬似尤度法

大規模言語モデルの訓練データに含まれているかどうかを判定する手法として、サンプリングベースの擬似尤度法を提案する。

本研究では、大規模言語モデルの訓練データに含まれているかどうかを判定するメンバーシップ推論攻撃(MIA)に対して、サンプリングベースの擬似尤度法(SaMIA)を提案した。 SaMIAは、大規模言語モデルから生成したテキストサンプルと参照テキストとのROUGE-Nスコアを用いて擬似尤度を計算し、それが一定のしきい値を超えた場合に参照テキストが訓練データに含まれていると判定する。 既存のMIA手法は、大規模言語モデルの尤度や損失関数を必要としていたが、SaMIAはそれらの情報を必要としないため、ChatGPTやClaude 3のようなプロプライエタリな大規模言語モデルにも適用できる。 実験の結果、SaMIAは既存のMIA手法と同等以上の性能を示した。また、SaMIAにzlib圧縮エントロピーを組み合わせることで、さらに性能が向上した。 SaMIAの性能に影響を与える要因として、n-gramの長さ、サンプル数、参照テキストの長さなどを分析した。n-gramは1-gramが最も有効で、サンプル数を増やすと性能が向上し、参照テキストが長いほど性能が高くなることが分かった。

大規模言語モデルの訓練データに含まれているテキストは、そうでないテキストに比べて、生成されたテキストとの n-gram 重複度が高い。 参照テキストの長さが長いほど、大規模言語モデルの訓練データに含まれているかどうかの判別が容易になる。

"大規模言語モデル(LLM)の事前学習には大規模なWebデータが使用されるため、各テキストの寄与を把握することが困難になっている。これにより、ベンチマーク、個人情報、著作権テキストなどの不適切なデータがトレーニングデータに含まれるリスクがある。" "既存のMIA手法は、モデルの尤度を必要としているため、尤度が利用できないモデルには適用できない。一方、SaMIAは尤度を必要とせず、任意の大規模言語モデルに適用できる。"