Het Beheersen van de Extractie van Onthouden Gegevens uit Grote Taalmodellen via Prompt-Tuning
Controlling the Extraction of Memorized Data from Large Language Models via Prompt-Tuning
May 19, 2023
Auteurs: Mustafa Safa Ozdayi, Charith Peris, Jack FitzGerald, Christophe Dupuy, Jimit Majmudar, Haidar Khan, Rahil Parikh, Rahul Gupta
cs.AI
Samenvatting
Grote Taalmodellen (LLMs) staan erom bekend aanzienlijke delen van hun trainingsdata te onthouden. Het is aangetoond dat delen van deze onthouden inhoud kunnen worden geëxtraheerd door simpelweg het model te bevragen, wat een privacyrisico vormt. Wij presenteren een nieuwe aanpak die prompt-tuning gebruikt om de extractiesnelheden van onthouden inhoud in LLMs te beheersen. We presenteren twee prompt-trainingsstrategieën om de extractiesnelheden te verhogen en te verlagen, wat respectievelijk overeenkomt met een aanval en een verdediging. We demonstreren de effectiviteit van onze technieken door modellen uit de GPT-Neo-familie te gebruiken op een openbare benchmark. Voor het GPT-Neo-model met 1,3 miljard parameters resulteert onze aanval in een stijging van 9,3 procentpunt in de extractiesnelheid vergeleken met onze baseline. Onze verdediging kan worden afgestemd om verschillende privacy-nuttigheidstrade-offs te bereiken via een door de gebruiker gespecificeerde hyperparameter. We bereiken een reductie in extractiesnelheid van tot 97,7% ten opzichte van onze baseline, met een toename in perplexiteit van 16,9%.
English
Large Language Models (LLMs) are known to memorize significant portions of
their training data. Parts of this memorized content have been shown to be
extractable by simply querying the model, which poses a privacy risk. We
present a novel approach which uses prompt-tuning to control the extraction
rates of memorized content in LLMs. We present two prompt training strategies
to increase and decrease extraction rates, which correspond to an attack and a
defense, respectively. We demonstrate the effectiveness of our techniques by
using models from the GPT-Neo family on a public benchmark. For the 1.3B
parameter GPT-Neo model, our attack yields a 9.3 percentage point increase in
extraction rate compared to our baseline. Our defense can be tuned to achieve
different privacy-utility trade-offs by a user-specified hyperparameter. We
achieve an extraction rate reduction of up to 97.7% relative to our baseline,
with a perplexity increase of 16.9%.