Control de la Extracción de Datos Memorizados en Modelos de Lenguaje a Gran Escala mediante Ajuste de Prompts
Controlling the Extraction of Memorized Data from Large Language Models via Prompt-Tuning
May 19, 2023
Autores: Mustafa Safa Ozdayi, Charith Peris, Jack FitzGerald, Christophe Dupuy, Jimit Majmudar, Haidar Khan, Rahil Parikh, Rahul Gupta
cs.AI
Resumen
Se sabe que los Modelos de Lenguaje de Gran Escala (LLMs, por sus siglas en inglés) memorizan porciones significativas de sus datos de entrenamiento. Se ha demostrado que partes de este contenido memorizado pueden extraerse simplemente consultando al modelo, lo que representa un riesgo para la privacidad. Presentamos un enfoque novedoso que utiliza el ajuste de prompts para controlar las tasas de extracción de contenido memorizado en los LLMs. Proponemos dos estrategias de entrenamiento de prompts para aumentar y disminuir las tasas de extracción, que corresponden a un ataque y una defensa, respectivamente. Demostramos la efectividad de nuestras técnicas utilizando modelos de la familia GPT-Neo en un benchmark público. Para el modelo GPT-Neo de 1.3 mil millones de parámetros, nuestro ataque produce un aumento de 9.3 puntos porcentuales en la tasa de extracción en comparación con nuestra línea base. Nuestra defensa puede ajustarse para lograr diferentes compensaciones entre privacidad y utilidad mediante un hiperparámetro especificado por el usuario. Logramos una reducción en la tasa de extracción de hasta un 97.7% en relación con nuestra línea base, con un aumento en la perplejidad del 16.9%.
English
Large Language Models (LLMs) are known to memorize significant portions of
their training data. Parts of this memorized content have been shown to be
extractable by simply querying the model, which poses a privacy risk. We
present a novel approach which uses prompt-tuning to control the extraction
rates of memorized content in LLMs. We present two prompt training strategies
to increase and decrease extraction rates, which correspond to an attack and a
defense, respectively. We demonstrate the effectiveness of our techniques by
using models from the GPT-Neo family on a public benchmark. For the 1.3B
parameter GPT-Neo model, our attack yields a 9.3 percentage point increase in
extraction rate compared to our baseline. Our defense can be tuned to achieve
different privacy-utility trade-offs by a user-specified hyperparameter. We
achieve an extraction rate reduction of up to 97.7% relative to our baseline,
with a perplexity increase of 16.9%.