Contrôle de l'extraction de données mémorisées dans les grands modèles de langage par réglage des prompts
Controlling the Extraction of Memorized Data from Large Language Models via Prompt-Tuning
May 19, 2023
Auteurs: Mustafa Safa Ozdayi, Charith Peris, Jack FitzGerald, Christophe Dupuy, Jimit Majmudar, Haidar Khan, Rahil Parikh, Rahul Gupta
cs.AI
Résumé
Les grands modèles de langage (LLMs) sont connus pour mémoriser une partie significative de leurs données d'entraînement. Il a été démontré que certaines parties de ce contenu mémorisé peuvent être extraites simplement en interrogeant le modèle, ce qui représente un risque pour la vie privée. Nous présentons une nouvelle approche qui utilise l'ajustement par prompts pour contrôler les taux d'extraction du contenu mémorisé dans les LLMs. Nous proposons deux stratégies d'entraînement par prompts pour augmenter et diminuer les taux d'extraction, correspondant respectivement à une attaque et à une défense. Nous démontrons l'efficacité de nos techniques en utilisant des modèles de la famille GPT-Neo sur un benchmark public. Pour le modèle GPT-Neo de 1,3 milliard de paramètres, notre attaque permet une augmentation de 9,3 points de pourcentage du taux d'extraction par rapport à notre référence. Notre défense peut être ajustée pour atteindre différents compromis entre confidentialité et utilité grâce à un hyperparamètre spécifié par l'utilisateur. Nous obtenons une réduction du taux d'extraction allant jusqu'à 97,7 % par rapport à notre référence, avec une augmentation de la perplexité de 16,9 %.
English
Large Language Models (LLMs) are known to memorize significant portions of
their training data. Parts of this memorized content have been shown to be
extractable by simply querying the model, which poses a privacy risk. We
present a novel approach which uses prompt-tuning to control the extraction
rates of memorized content in LLMs. We present two prompt training strategies
to increase and decrease extraction rates, which correspond to an attack and a
defense, respectively. We demonstrate the effectiveness of our techniques by
using models from the GPT-Neo family on a public benchmark. For the 1.3B
parameter GPT-Neo model, our attack yields a 9.3 percentage point increase in
extraction rate compared to our baseline. Our defense can be tuned to achieve
different privacy-utility trade-offs by a user-specified hyperparameter. We
achieve an extraction rate reduction of up to 97.7% relative to our baseline,
with a perplexity increase of 16.9%.