Are Diffusion Models Vulnerable to Membership Inference Attacks?

要約

拡散ベースの生成モデルは、画像合成の大きな可能性を示していますが、それらがもたらす可能性のあるセキュリティとプライバシーのリスクに関する研究は不足しています.
この論文では、一般的なプライバシーの問題であるメンバーシップ推論攻撃 (MIA) に対する拡散モデルの脆弱性を調査します。
私たちの結果は、GANまたはVAE用に設計された既存のMIAは、適用できないシナリオ（GANの弁別器が必要など）または不適切な仮定（合成画像とメンバー画像の間の距離が近いなど）のために、拡散モデルではほとんど効果がないことを示しています。
このギャップに対処するために、ステップワイズ エラー比較メンバーシップ推論 (SecMI) を提案します。これは、各タイムステップでのフォワード プロセス事後推定の一致を評価することによってメンバーシップを推論するブラック ボックス MIA です。
SecMI は、ホールドアウト サンプルと比較して、メンバー サンプルの推定誤差が通常小さい MIA の一般的なオーバーフィッティングの仮定に従います。
DDPM などの標準拡散モデルと、安定拡散などのテキストから画像への拡散モデルの両方を検討します。
実験結果は、6 つの異なるデータセットにわたる 2 つのシナリオの両方で、私たちの方法が高い信頼性でメンバーシップを正確に推測することを示しています。

要約(オリジナル)

Diffusion-based generative models have shown great potential for image synthesis, but there is a lack of research on the security and privacy risks they may pose. In this paper, we investigate the vulnerability of diffusion models to Membership Inference Attacks (MIAs), a common privacy concern. Our results indicate that existing MIAs designed for GANs or VAE are largely ineffective on diffusion models, either due to inapplicable scenarios (e.g., requiring the discriminator of GANs) or inappropriate assumptions (e.g., closer distances between synthetic images and member images). To address this gap, we propose Step-wise Error Comparing Membership Inference (SecMI), a black-box MIA that infers memberships by assessing the matching of forward process posterior estimation at each timestep. SecMI follows the common overfitting assumption in MIA where member samples normally have smaller estimation errors, compared with hold-out samples. We consider both the standard diffusion models, e.g., DDPM, and the text-to-image diffusion models, e.g., Stable Diffusion. Experimental results demonstrate that our methods precisely infer the membership with high confidence on both of the two scenarios across six different datasets

arxiv情報

提供元, 利用サービス

arxiv.jp, Google