论文笔记:Detecting Pretraining Data from Large Language Models

iclr 2024 reviewer评分 5688

1 intro

  • 论文考虑的问题:给定一段文本和对一个黑盒语言模型的访问权限,在不知道其预训练数据的情况下,能否判断该模型是否在这段文本上进行了预训练
    • 这个问题是成员推断攻击(Membership Inference Attacks,MIA)的一个实例
  • 最近存在一些工作将微调数据检测作为一个MIA问题进行了研究
    • 但是,将这些方法应用到检测大模型相关数据中,存在两个独特的技术挑战
      • 与通常运行多个epoch的微调不同,预训练使用的数据集要大得多,但每个实例只暴露一次,
        • ------>这显著减弱了成功MIA所需的潜在记忆
      • 以前的方法通常依赖于一个或多个参考模型(影子模型)
        • 这些模型以与目标模型相同的方式进行训练(从相同的基础预训练数据分布中采样的影子数据上进行训练)
        • 这对于大型语言模型来说不可行,因为训练分布通常不可用,训练成本也太高
  • ------>论文提出了一个基准 WikiMIA 和一种预训练数据检测方法Min-K% Prob

2 WikiMIA

  • 使用在特定日期(2023年1月1日)之后添加到维基百科的事件来构建基准
    • 将这些事件视为非成员数据,因为可以保证这些数据不会出现在预训练数据中
  • ------>最终收集了394个最近事件作为我们的非成员数据,并随机选择了394个在2016年前的维基百科页面中的事件作为我们的成员数据

2.1 数据的三个理想属性

  • 准确:
    • 在语言模型预训练之后发生的事件保证不会出现在预训练数据中。
    • 事件的时间性质确保非成员数据确实未曾见过,并没有在预训练数据中提到。
  • 通用
    • 不限于任何特定的模型,可以应用于使用维基百科数据进行预训练的各种模型(OPT、LLaMA、GPT-Neo)
  • 动态:
    • 由于这里的数据构建流程是完全自动化的,论文将通过从维基百科收集更多最近的非成员数据(即更近期的事件)来持续更新论文的基准

3 Min-K% Prob

3.1 微调MIA 方法的不足

  • 微调的MIA方法通常是:
    • 用在相似数据分布上训练的参考模型(影子模型)来校准目标模型使用某一个样本的概率。
    • 但是,由于预训练数据的黑盒性质和其高计算成本,这些方法在预训练数据检测中是不实际的。
  • ------>论文提出了一个无参考的MIA方法Min-K% Prob

3.2 方法介绍

  • 论文的方法基于一个简单的假设------一个未见过的样本往往包含几个具有低概率的异常词,而一个见过的样本不太可能包含这样低概率的词。
  • Min-K% Prob计算离群词元的平均概率。
  • Min-K% Prob可以在不了解预训练语料库或,不需要任何额外训练的情况下使用

如果平均概率高,那么很有可能文本在预训练数据中

4 实验

4.1 检测结果

4.2 文本和模型大小的影响

4.3 GPT3 预训练数据中的Top20书籍

4.4 不同learning rate的影响

相关推荐
Larcher6 小时前
从零搭建文件读取 MCP 服务——让 AI 拥有读文件的能力
人工智能
西瓜橙6 小时前
别再让 AI 一把梭:我用 Loop Engineering 把 AI编程 拽进可验证闭环
人工智能
艾莉丝努力练剑7 小时前
OpenCode AI 编程:Ubuntu 24.04 环境安装与使用指南
linux·服务器·网络·人工智能·tcp/ip·ubuntu
华山令狐虫7 小时前
DBAPI AI 写 SQL:支持动态 SQL 与参数占位符,自然语言一键生成
数据库·人工智能·sql·dbapi
一次旅行7 小时前
DeepSeek-V4 原厂直供模型即将登陆腾讯云!峰谷定价详解 + 实战调用指南
人工智能·腾讯云·ai编程
阿里云大数据AI技术7 小时前
DataWorks Data Agent的演进与工程化实践
人工智能·agent
HERR_QQ7 小时前
强化学习的数学原理 学习笔记
人工智能·笔记·学习·自动驾驶
IvorySQL7 小时前
PG 技术日报|2026-07-04
数据库·人工智能·postgresql·开源
程序员cxuan7 小时前
Claude Code 为了封禁中国用户,竟然在代码里下毒
人工智能·后端·程序员
shushangyun_7 小时前
2026年AI知识库系统选型指南
人工智能