Recuperação do Tamanho do Conjunto de Dados a partir dos Pesos LoRA
Dataset Size Recovery from LoRA Weights
June 27, 2024
Autores: Mohammad Salama, Jonathan Kahana, Eliahu Horwitz, Yedid Hoshen
cs.AI
Resumo
Os ataques de inversão de modelo e inferência de associação têm como objetivo reconstruir e verificar os dados nos quais um modelo foi treinado. No entanto, não há garantia de que encontrarão todas as amostras de treinamento, uma vez que não conhecem o tamanho do conjunto de treinamento. Neste artigo, introduzimos uma nova tarefa: recuperação do tamanho do conjunto de dados, que visa determinar o número de amostras usadas para treinar um modelo, diretamente a partir de seus pesos. Em seguida, propomos o DSiRe, um método para recuperar o número de imagens usadas para ajustar fino um modelo, no caso comum em que o ajuste fino utiliza LoRA. Descobrimos que tanto a norma quanto o espectro das matrizes LoRA estão intimamente ligados ao tamanho do conjunto de dados de ajuste fino; aproveitamos essa descoberta para propor um algoritmo de previsão simples, porém eficaz. Para avaliar a recuperação do tamanho do conjunto de dados dos pesos LoRA, desenvolvemos e lançamos um novo benchmark, LoRA-WiSE, composto por mais de 25000 instantâneos de pesos de mais de 2000 modelos LoRA ajustados finamente diversos. Nosso melhor classificador pode prever o número de imagens de ajuste fino com um erro absoluto médio de 0,36 imagens, estabelecendo a viabilidade desse ataque.
English
Model inversion and membership inference attacks aim to reconstruct and
verify the data which a model was trained on. However, they are not guaranteed
to find all training samples as they do not know the size of the training set.
In this paper, we introduce a new task: dataset size recovery, that aims to
determine the number of samples used to train a model, directly from its
weights. We then propose DSiRe, a method for recovering the number of images
used to fine-tune a model, in the common case where fine-tuning uses LoRA. We
discover that both the norm and the spectrum of the LoRA matrices are closely
linked to the fine-tuning dataset size; we leverage this finding to propose a
simple yet effective prediction algorithm. To evaluate dataset size recovery of
LoRA weights, we develop and release a new benchmark, LoRA-WiSE, consisting of
over 25000 weight snapshots from more than 2000 diverse LoRA fine-tuned models.
Our best classifier can predict the number of fine-tuning images with a mean
absolute error of 0.36 images, establishing the feasibility of this attack.