# Янник Килхер о проблеме утечки данных из нейросетей: «Страшнее, чем кажется?»

Источник: https://www.youtube.com/watch?v=plK2WVdLTOY
Канал: Yannic Kilcher
Опубликовано: 26.12.2020

---

## 🔐 Уязвимость больших языковых моделей: как они «запоминают» приватные данные
[[JUMP:0:00]]

Исследовательская работа, представленная международной группой академических институтов и корпораций, раскрывает фундаментальную проблему больших языковых моделей (LLM): способность «запоминать» и выдавать фрагменты обучающих данных. В видео, посвящённом разбору этой статьи, Янник Килхер анализирует, как через обычный «черный ящик» (black box access) можно извлечь verbatim-фрагменты данных, даже если они встречались в обучающей выборке всего несколько раз. Это исследование поднимает важные вопросы о безопасности и конфиденциальности пользовательских данных, используемых для обучения моделей.

### 🕵️‍♂️ Суть атаки и проблема эйдетического запоминания
[[JUMP:7:39]]

Авторы исследования демонстрируют, что атака возможна даже при условии, что конкретная последовательность символов встречается в обучающем наборе всего один раз. Янник Килхер отмечает, что авторы вводят строгие определения для классификации этой проблемы:

*   **Запоминание (Memorization):** Модель «знает» строку, если её можно извлечь, подавая определенный префикс.
*   **k-эйдетическое запоминание (k-eidetic memorization):** Строка «s» считается запомненной, если она извлекаема из модели и при этом встречается не более чем в «k» примерах обучающей выборки.

По мнению Килхера, хотя авторы статьи намеренно создают тревожный тон, многие примеры извлеченных данных (например, корпоративные адреса или публичные контакты) на деле не несут той угрозы, которую им приписывают. Тем не менее он признает: если компания обучает модель на внутренних, чувствительных документах, риск утечки реален, особенно если данные дублируются в документах без должной очистки.

### ⚙️ Инструментарий и методика извлечения данных
[[JUMP:26:57]]

Для извлечения данных исследователи применяют двухэтапный процесс, который Килхер считает довольно элегантным:

1.  **Генерация кандидатов:** Исследователи генерируют множество выходных данных из модели. Для повышения разнообразия они используют два приема:
    *   **Снижение температуры:** Начинают с высокой «температуры» для исследования пространства, постепенно уменьшая её.
    *   **Кондиционирование на интернет-текстах:** Используют в качестве промптов случайные фрагменты текста, найденные в сети, чтобы заставить модель продолжить их.
2.  **Фильтрация:** Использование метрик вероятности (перплексии) для определения наиболее вероятных (а значит, потенциально запомненных) последовательностей.

Килхер особо выделяет стратегию дифференциации: использование двух моделей для сравнения. Если обе модели считают текст очень вероятным — это «канонический» текст (например, MIT License), встречающийся везде. Если же целевая модель считает текст вероятным, а контрольная (или меньшая версия модели) — нет, то перед нами потенциальный «выброс» (outlier), который модель запомнила именно из-за своей уникальности.

### 📉 Влияние размера модели и «защита через дистилляцию»
[[JUMP:37:35]]

Важный вывод видео касается взаимосвязи между размером модели и её способностью к запоминанию. Янник Килхер ссылается на исследования Сары Хукер (Sarah Hooker) о «лотерее весов». Суть в том, что модели выделяют часть своих весов для запоминания редких «выбросов» данных, которые не поддаются обобщению.

*   **Дистилляция как защита:** Перенос знаний в меньшую модель приводит к потере именно этих «редких» данных, так как модель вынуждена приоритизировать паттерны, а не простое запоминание.
*   **Прогноз для GPT-3:** Килхер предостерегает, что в моделях типа GPT-3, обладающих гораздо большим количеством параметров, проблема запоминания может быть выражена значительно острее.

### 🧐 Итоги и личное мнение спикера
[[JUMP:1:01:28]]

Янник Килхер подчеркивает, что, несмотря на пугающее название, результаты исследования выглядят скорее «обнадеживающими», чем катастрофическими. Основная часть запоминаемой информации — это либо неструктурированные случайные строки, либо данные, встречающиеся в специфических контекстах. 

Он заключает:

1.  **Проблема существует:** Модели действительно могут «выплевывать» куски обучающих данных.
2.  **Аудит — лучшее решение:** Пока нет универсального способа предотвратить запоминание, аудит моделей остается наиболее эффективной стратегией защиты.
3.  **Роль промпт-инженера:** Автор видео иронично добавляет, что знание того, какой «магический» префикс подать модели, становится всё более ценным навыком.