大模型微调的差分隐私：保证与现实之间的落差

这是什么？

当团队在敏感数据（病历、工单、内部文档）上微调大语言模型时，差分隐私（differential privacy, DP）是首选工具。用 DP-SGD 训练、选定一个隐私预算（epsilon），就能得到一个数学保证：任意单条记录对模型的影响都被限制在一定范围内。一项题为 Benchmarking Empirical Privacy Protection for Adaptations of Large Language Models 的基准研究（arXiv:2606.09401，2026 年 6 月 8 日提交，入选 ICLR 2026 口头报告）检验了这一保证在实践中的可靠性。结论很简单：同一个 epsilon，所提供的真实保护可能差异巨大，取决于你的适配数据与模型预训练语料的相似程度。

工作原理

作者用两种前沿的隐私攻击来评估经 DP 适配的大模型：稳健成员推断（判断某条记录是否属于微调集）与金丝雀数据提取（恢复被植入的秘密字符串）。随后他们改变一个关键因素——适配数据分布与预训练分布之间的关系——并设置三种情形：与预训练数据完全重叠、分布内（IID）、以及完全分布外（OOD）。

落差背后的机理在于：DP-SGD 只约束微调期间所见记录的影响，对基础模型在预训练阶段已经吸收的信息则无能为力。当适配数据与预训练语料重叠，甚至只是相似时，模型的先验知识会强化微调所教授的内容，攻击者便能利用这种强化，而形式上的 epsilon 却保持不变。

# 隐私审计的概念性循环（防御性）—— 不含任何攻击载荷。
# 测量经验泄漏，而非仅依赖 epsilon。
for regime in ["overlap", "in_distribution", "out_of_distribution"]:
    model = dp_finetune(base_model, data[regime], epsilon=fixed)
    mia_score    = robust_membership_inference(model, data[regime])
    canary_recall = extract_canaries(model, planted_canaries[regime])
    report(regime, epsilon=fixed, mia=mia_score, canary=canary_recall)
# 发现：epsilon 不变时，越接近预训练分布，mia/canary 越高。

为什么重要

这一结果打破了一个令人安心的假设：只要选一个较小的 epsilon，就足以证明隐私。论文发现，分布偏移会显著推高实际脆弱性——微调数据越接近预训练分布，在相同理论保证下真实风险越高，即便记录层面没有任何重叠。对于在受监管数据上部署定制模型的人来说，这意味着一个合规勾选项（“我们使用了 epsilon = X 的 DP”）可以与可测量的训练记录泄漏并存。成员推断与金丝雀提取在此仍是衡量标尺，针对大模型的此类攻击的综述文献也印证了这一点（arXiv:2503.19338；arXiv:2509.14278）。

防御

这项研究可转化为具体、可落地的做法：

• 要测量，别假设。 把 epsilon 当作输入，而非结论。发布前，对适配后的模型运行稳健成员推断与金丝雀提取，并将经验泄漏数据与预算一并报告。
• 考虑数据之间的关系。 评估你的微调数据与基础模型预训练分布的接近程度。越接近，在给定 epsilon 下就越需要更强的经验保护。
• 对 OOD 数据优先使用参数高效微调。 基准研究发现，像 LoRA 这样的 PEFT 方法在分布外数据上能取得最高的经验隐私保护——当你的敏感语料确实与网络规模预训练显著不同时，这是一个不错的默认选择。
• 审计整条流水线。 作者主张对从预训练到适配的整条流水线进行整体隐私评估，而不是孤立地给适配步骤打分。将 DP 与数据最小化、对已知预训练来源的去重，以及发布前的金丝雀审计结合起来。

状态

这是一项经过同行评审的基准与分析，而非某个具体产品中的漏洞，因此没有补丁可打——需要采取的是方法层面的行动。关键日期：论文于 2026 年 6 月 8 日提交至 arXiv，并入选 ICLR 2026 口头报告。这是防御性研究：其要义是以经验方式验证隐私，选择能经受攻击的适配方法与数据情形，而不是仅依赖理论预算。

本文涉及训练数据隐私研究。如果你处理敏感或受监管的数据集，请在部署前用经验性的成员推断与提取测试来验证任何隐私承诺。