比起中国选手动辄千万的身价，东南亚选手身价明显较低。

微软亚洲研究院前副院长、现澜舟科技创始人周明是这一赛道的追随者。获取算力的瓶颈已经不存在，唯一的拦路虎只是获取成本。

或者说，若几个点的精度提升是靠上千万的成本换来的，性价比就显得极低。」迫于压力，小工很快就想出了一个妙计：他花 190 元买了一台大功率电风扇放在香皂包装生产线的旁边，产线一转就开始猛吹，空的香皂盒一出现，就被吹走了。这场竞争开始于国外的科技巨头。所以，在推动 AI 发展的过程中，大模型与小模型的结合是必然的。面对这如火如荼的局面，国内大厂、甚至政府资助成立的研究机构也纷纷不甘落后，先后推出他们在炼大模型上的成果：2021年4月，阿里达摩院发布中文预训练语言模型「PLUG」，参数量 270 亿。

一种途径是以数据为中心的「降维」。有研究实验表明，数据量与参数量的增大能够有效提升模型解决问题的精确度。因为Membership Influence是二分类攻击，只可以是member或非member。

然后我们在generate的loss基础上加了一个新loss。如果不看红框里边的lost，只看外边，这就是一个普通的generator的loss。在万物互联的大数据时代，数据链接了我们生活的方方面面。生成器的input是128维的高斯噪音。

判别器是一个二分类器，这个二分类器的工作是判断这是真图片，还是这个生成器生成的图片。就是说一个Model对一个member，自信度非常高。

那我就认为这是一个member。图神经网络是过去四五年机器学习领域新兴起的一个领域，也是一个非常火的领域，尤其在工业界很常用。以下是德国CISPA亥姆霍兹信息安全中心研究员张阳的演讲《量化机器学习模型的隐私风险》。本期科技思享会邀请到了四位重磅嘉宾，共同围绕隐私保护的前沿技术及应用这个主题，分别从机器学习算法、通讯协议、APP及操作系统等不同层面，就隐私安全风险及技术创新应用展开讨论。

再讲一个我们在CCS2021的工作。你也可以假设它的影子模型的结构和Target Model也是一样的。成员推理攻击之所以可以成功，核心原因就是过拟合。而我们的思路是先学出这个Updating Set的分布。

这个就是通过Label-only的方式来做成员推理攻击。如果我们没有那个假设(因为很多情况下机器学习Model，可能只给你一个比较简单的Label),如果只给你一个Label告诉你这是一个熊猫，这种情况下还能做成员推理攻击吗？过去的几年里，我们一直认为这是不可能的。

Attack2就更简单，因为其假设更少，本地不需要它的Shadow Dataset，Target Model Dataset是同一数据集的。CIFAR-100是一个图片数据集，News是一个自然语言数据，这是他们二维的分布。

总结一下，我分享了成员推理攻击，数据重构攻击，链路窃取攻击。传统神经网络，是假设每一个训练sample都是独立的。我们假设有100张图片update了这个Model。所谓的过拟合就是一个Model训练好以后，它会对训练过的图片（数据）更加自信，而对没见过的图片（数据）没有那么自信。因为好多工业界的数据可以自然而然组织成一张图。Attack3是内容攻击，我知道原图里一些存在的边，但是并不包括这蓝红两点的边。

然后我从Attacker的角度，再用同样的Probing Set再去探测Target Model的第二个版本,每个output都不同，因为Model更新过了。Attack3可能更简单，因为它根本就不需要任何的Shadow数值集。

比如说每个点对应的Attack Model的最大三维的后验概率。有了分布，我们再做后期处理。

而更有意思是News的member与CIFAR-100的member基本处于一个区域，同样Non-member也处于一个区域。对抗样本攻击会找一个方法自动产生一些噪音。

如果给一个红色点，我就知道另一个output，这个是Transductive Setting的GNN。别的一些攻击并不被主流认可，或者并没有那么popular，成员推理攻击反而是很重要的一个攻击。所有不在对角线的点，是非同分布数据集去攻击另一个数据集，即两个不相关的数据集相互攻击。究其原因是我们并没有转换数据集，只是转换了Model和Model之间的Overfitting Behavior。

因为我的目标还是想知道这个熊猫图片（sample）是不是Target Model的一部分。绿色的柱子是我们的攻击，就是一个Shadow Model,一个Attack Model。

那么这条线也自然而然可以把News的member和Non-member分开。我已经介绍了三个Attack，Attack1已经比最原始的Attack简单。

判别器的目的就是我让所有任何generator生成图片都被准确地找出来，都能准确的和真实图片分割出来。探测集有100张图片或1000张图片，探测以后会产生1000个output。

假设我有个Target Model，我用一张图片去query Target Model，会产生output。Link Stealing Against GNN我演讲的第三部分就是链路窃取攻击。这种情况下，我把三个Attack的表现放在一起比，Attack1和Attack2表现差不多（看左边的Precision和 Recall），Attack3在Precision上似乎差一点，但在Recall上比较强。这里的影子模型的影子是指Target Model的影子。

通过这个思路，我们做了三个攻击。包括对于想让GPU省资源，让AI更加绿色的Multi-exit Networks上，我们都做了成员推理攻击。

就证明你不需要多个Shadow Models和多个Attack Models，一个就够。演讲嘉宾 |张 阳德国CISPA亥姆霍兹信息安全中心研究员ATEC科技精英赛高级咨询委员会专家《量化机器学习模型的隐私风险》大家好，我是张阳，我来自德国亥姆霍兹信息安全中心。

这两个自信度差值不大，就促成了我们的攻击可以进行，这是我们的第二大Attack。这是一个很基本的一个online learning的过程。