Reconstruction Attacks on Machine Unlearning: Simple Models are Vulnerable

要約

機械の非学習は、データの自律性への欲求によって動機付けられています。つまり、人はデプロイされたモデルから自分のデータの影響を削除するように要求でき、それらのモデルは、その人のデータなしで再トレーニングされたかのように更新される必要があります。
直観に反して、これらのアップデートは個人を高精度の再構成攻撃にさらし、元のモデルが非常に単純でプライバシー リスクが懸念されなかった場合でも、攻撃者がデータ全体を復元できることを示します。
線形回帰モデルから削除されたデータ ポイントに対してほぼ完璧な攻撃を仕掛ける方法を示します。
次に、攻撃を他の損失関数とアーキテクチャに一般化し、広範囲のデータセット (表形式データと画像データの両方をキャプチャ) にわたる攻撃の有効性を経験的に実証します。
私たちの研究は、個人がモデルから自分のデータの削除を要求できる場合、非常に単純なモデルクラスであってもプライバシーのリスクが重大であることを強調しています。

要約(オリジナル)

Machine unlearning is motivated by desire for data autonomy: a person can request to have their data’s influence removed from deployed models, and those models should be updated as if they were retrained without the person’s data. We show that, counter-intuitively, these updates expose individuals to high-accuracy reconstruction attacks which allow the attacker to recover their data in its entirety, even when the original models are so simple that privacy risk might not otherwise have been a concern. We show how to mount a near-perfect attack on the deleted data point from linear regression models. We then generalize our attack to other loss functions and architectures, and empirically demonstrate the effectiveness of our attacks across a wide range of datasets (capturing both tabular and image data). Our work highlights that privacy risk is significant even for extremely simple model classes when individuals can request deletion of their data from the model.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google