会員推論攻撃に対する検索データのプライバシー保護:「このクエリは近すぎるか?」
なぜ重要か: 企業や社会への影響が見込まれ、一般メディアにも波及する可能性があります。
arXiv:2505.22061v2 発表種別:差し替え
要約:検索拡張生成(RAG)は、大規模言語モデル(LLM)における幻覚問題を軽減し、パーソナライズされた用途において有効であることが証明されています。しかし、プライベートな検索ドキュメントをLLMに直接提供することは、ターゲットデータポイントがプライベートな外部データベースに存在するかどうかを判定しようとするメンバーシップ推論攻撃(MIA)に対する脆弱性を招きます。MIAクエリは通常、単一のターゲットドキュメントとのみ高い類似性を示すという知見に基づき、RAGシステム向けに設計された、新規の類似性に基づくMIA検出フレームワークを紹介します。提案手法を用いて、単純な検出と隠蔽の戦略が攻撃者を効果的に隠蔽し、データの有用性を維持し、MIAに対してシステム非依存性を維持できることを示します。様々な最先端のMIA手法に対する検出と防御、および既存のRAGシステムへの適応性を実験的に証明します。
原文(英語)を表示
Title (EN): Safeguarding Privacy of Retrieval Data against Membership Inference Attacks: Is This Query Too Close to Home?
arXiv:2505.22061v2 Announce Type: replace
Abstract: Retrieval-augmented generation (RAG) mitigates the hallucination problem in large language models (LLMs) and has proven effective for personalized usages. However, delivering private retrieved documents directly to LLMs introduces vulnerability to membership inference attacks (MIAs), which try to determine whether the target data point exists in the private external database or not. Based on the insight that MIA queries typically exhibit high similarity to only one target document, we introduce a novel similarity-based MIA detection framework designed for the RAG system. With the proposed method, we show that a simple detect-and-hide strategy can successfully obfuscate attackers, maintain data utility, and remain system-agnostic against MIA. We experimentally prove its detection and defense against various state-of-the-art MIA methods and its adaptability to existing RAG systems.
Published: 2025-09-24 19:00 UTC