Class Attribute Inference Attacks: Inferring Sensitive Class Information by Diffusion-Based Attribute Manipulations

要約

ニューラル ネットワーク ベースの画像分類器は、コンピューター ビジョン タスク用の強力なツールですが、クラスに関する機密属性情報を誤って公開してしまうため、プライバシーに関する懸念が生じます。
このプライバシー漏洩を調査するために、私たちは最初のクラス属性推論攻撃 (CAIA) を導入しました。これは、テキストから画像への合成における最近の進歩を利用して、関連するホワイトボックス設定との競争力を維持しながら、ブラックボックス設定で個々のクラスの機密属性を推論します。
ボックス攻撃。
顔認識ドメインにおける広範な実験により、CAIA が個人の髪の色、性別、人種的外観など、トレーニング ラベルの一部ではない未公開の機密属性を正確に推測できることが示されました。
興味深いことに、敵対的堅牢モデルは標準モデルよりもそのようなプライバシー漏洩に対してさらに脆弱であることを実証しており、堅牢性とプライバシーの間にトレードオフが存在することを示しています。

要約(オリジナル)

Neural network-based image classifiers are powerful tools for computer vision tasks, but they inadvertently reveal sensitive attribute information about their classes, raising concerns about their privacy. To investigate this privacy leakage, we introduce the first Class Attribute Inference Attack (CAIA), which leverages recent advances in text-to-image synthesis to infer sensitive attributes of individual classes in a black-box setting, while remaining competitive with related white-box attacks. Our extensive experiments in the face recognition domain show that CAIA can accurately infer undisclosed sensitive attributes, such as an individual’s hair color, gender, and racial appearance, which are not part of the training labels. Interestingly, we demonstrate that adversarial robust models are even more vulnerable to such privacy leakage than standard models, indicating that a trade-off between robustness and privacy exists.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google