Evaluations of Machine Learning Privacy Defenses are Misleading

要約

機械学習のプライバシーに対する経験的な防御は、現実的な敵に対抗しながらより高い有用性を達成することを期待して、差分プライバシーの証明可能な保証を放棄します。
私たちは、誤解を招く結論をもたらす既存の実証的なプライバシー評価 (メンバーシップ推論攻撃に基づく) に重大な落とし穴があることを特定しました。
特に、以前の評価では最も脆弱なサンプルのプライバシー漏洩を特徴付けることができず、弱い攻撃を使用し、実際の差分プライバシー ベースラインとの比較を避けていたことを示します。
実証的なプライバシー防御の 5 つのケーススタディでは、以前の評価ではプライバシー漏洩が 1 桁ほど過小評価されていたことがわかりました。
私たちのより強力な評価の下では、私たちが研究した経験的防御策はどれも、適切に調整された実用性の高い DP-SGD ベースライン (証明可能な保証は空虚) と競合できません。

要約(オリジナル)

Empirical defenses for machine learning privacy forgo the provable guarantees of differential privacy in the hope of achieving higher utility while resisting realistic adversaries. We identify severe pitfalls in existing empirical privacy evaluations (based on membership inference attacks) that result in misleading conclusions. In particular, we show that prior evaluations fail to characterize the privacy leakage of the most vulnerable samples, use weak attacks, and avoid comparisons with practical differential privacy baselines. In 5 case studies of empirical privacy defenses, we find that prior evaluations underestimate privacy leakage by an order of magnitude. Under our stronger evaluation, none of the empirical defenses we study are competitive with a properly tuned, high-utility DP-SGD baseline (with vacuous provable guarantees).

arxiv情報

提供元, 利用サービス

arxiv.jp, Google