7.2.1.1 DP 下的防御

文档摘要

7.2.1.1 DP 下的防御 7.2.1.1 DP 下的防御想象一下，你正负责一个医疗图像分类模型的部署，用户数据高度敏感，一场Membership Inference Attack（MIA）悄然来袭，黑客通过查询模型输出概率，就能以85%的准确率猜出某患者影像是否参与了训练。这不是科幻，而是真实痛点：根据2023年USENIX Security上的最新研究，标准神经网络在CIFAR-10数据集上MIA成功率高达70%以上。差异隐私（Differential Privacy, DP）成了救星，它通过在梯度中注入精心设计的噪声，确保单个数据点的加入或移除不会显著改变模型输出分布。