AI-Security-05-AI隐私安全深度剖析

AI 隐私安全深度剖析：模型逆向、成员推断与数据重建

整理时间：2026-04-02
权威来源：arXiv Model Extraction Survey (2506.22521)、ACM S&P Model Extraction Paper、 Carlini et al. 训练数据记忆研究、Keysight TPUXtract 案例、Herish AI Model Extraction 实战分析

一、AI 隐私安全的三个维度

AI 隐私安全与传统数据隐私有本质区别：

传统数据隐私： ├─ 问题：如何防止未授权访问用户数据？ ├─ 解决方案：加密、访问控制、差分隐私 └─ 边界：数据是静态的，有明确边界 AI 隐私安全的三个维度： 维度 1：训练数据隐私 ├─ 问题：模型的训练数据是否被"记忆"在模型中？ ├─ 攻击：成员推断、数据重建、模型逆向 └─ 特点：数据经过了处理（非原始形态），但仍可部分重建 维度 2：推理隐私 ├─ 问题：用户输入的推理请求是否会被泄露？ ├─ 攻击：API 探测、输出分析、侧信道攻击 └─ 特点：每次推理都是潜在泄露点 维度 3：模型知识产权 ├─ 问题：模型的"智能"（权重、知识）是否被窃取？ ├─ 攻击：模型提取、功能重建 └─ 特点：模型是训练数据的浓缩，窃取模型 ≈ 窃取训练数据 

二、模型提取攻击（Model Extraction）

2.1 模型提取的完整攻击分类

模型提取攻击不仅仅是"复制一个模型"，而是利用目标模型的输出重建其功能：

模型提取攻击的完整分类（arXiv 2025 Survey）： ┌─────────────────────────────────────────────────────────────┐ │ 类型 1：功能等效提取（Functional Equivalence Extraction） │ ├─────────────────────────────────────────────────────────────┤ │ 目标：重建一个与目标模型功能相同的模型 │ │ │ │ 方法： │ │ ├─ 纯粹 API 查询：用大量输入-输出对训练替代模型 │ │ ├─ 蒸馏提取：利用 logits/概率分布（比纯输出更多信息） │ │ └─ 能力探测：针对性地提取特定能力而非完整模型 │ │ │ │ 影响： │ │ ├─ 知识产权损失（数十亿美元研发被复制） │ │ ├─ 竞争优势丧失 │ │ └─ 白盒攻击：对提取的模型发动更精确的攻击 │ └─────────────────────────────────────────────────────────────┘ ┌─────────────────────────────────────────────────────────────┐ │ 类型 2：训练数据推断（Training Data Inference） │ ├─────────────────────────────────────────────────────────────┤ │ 目标：从模型输出推断训练数据的特征或成员 │ │ │ │ 细分为： │ │ ├─ 成员推断攻击（MIA）：判断某数据是否在训练集中 │ │ ├─ 属性推断攻击（PIA）：推断训练数据的全局属性 │ │ ├─ 数据重建攻击（DRA）：从模型参数/输出中部分/完全重建数据 │ │ └─ 分布推断：从模型推断训练数据分布 │ │ │ │ 影响： │ │ ├─ 隐私侵犯（个人数据是否被用于训练？） │ │ ├─ 商业秘密泄露（某企业数据是否被用于竞争对手的模型？） │ │ └─ 合规风险（GDPR 等数据保护法规） │ └─────────────────────────────────────────────────────────────┘ ┌─────────────────────────────────────────────────────────────┐ │ 类型 3：提示词定向攻击（Prompt-Targeted Attacks） │ ├─────────────────────────────────────────────────────────────┤ │ 目标：针对特定提示词/场景提取