Controlando a Extração de Dados Memorizados em Modelos de Linguagem de Grande Escala por meio de Ajuste de Prompts
Controlling the Extraction of Memorized Data from Large Language Models via Prompt-Tuning
May 19, 2023
Autores: Mustafa Safa Ozdayi, Charith Peris, Jack FitzGerald, Christophe Dupuy, Jimit Majmudar, Haidar Khan, Rahil Parikh, Rahul Gupta
cs.AI
Resumo
Grandes Modelos de Linguagem (LLMs) são conhecidos por memorizar partes significativas de seus dados de treinamento. Demonstrou-se que partes desse conteúdo memorizado podem ser extraídas simplesmente consultando o modelo, o que representa um risco à privacidade. Apresentamos uma abordagem inovadora que utiliza ajuste de prompts para controlar as taxas de extração de conteúdo memorizado em LLMs. Apresentamos duas estratégias de treinamento de prompts para aumentar e diminuir as taxas de extração, que correspondem, respectivamente, a um ataque e a uma defesa. Demonstramos a eficácia de nossas técnicas utilizando modelos da família GPT-Neo em um benchmark público. Para o modelo GPT-Neo de 1,3 bilhão de parâmetros, nosso ataque resulta em um aumento de 9,3 pontos percentuais na taxa de extração em comparação com nossa linha de base. Nossa defesa pode ser ajustada para alcançar diferentes compensações entre privacidade e utilidade por meio de um hiperparâmetro especificado pelo usuário. Conseguimos uma redução na taxa de extração de até 97,7% em relação à nossa linha de base, com um aumento de 16,9% na perplexidade.
English
Large Language Models (LLMs) are known to memorize significant portions of
their training data. Parts of this memorized content have been shown to be
extractable by simply querying the model, which poses a privacy risk. We
present a novel approach which uses prompt-tuning to control the extraction
rates of memorized content in LLMs. We present two prompt training strategies
to increase and decrease extraction rates, which correspond to an attack and a
defense, respectively. We demonstrate the effectiveness of our techniques by
using models from the GPT-Neo family on a public benchmark. For the 1.3B
parameter GPT-Neo model, our attack yields a 9.3 percentage point increase in
extraction rate compared to our baseline. Our defense can be tuned to achieve
different privacy-utility trade-offs by a user-specified hyperparameter. We
achieve an extraction rate reduction of up to 97.7% relative to our baseline,
with a perplexity increase of 16.9%.