我们思考一下给我们的回复,就可以发现由于采用了 --as-a-(MLaaS),我们是没办法拿到任何和模型有关的内容的,所以黑盒攻击就成了唯一的选项 。
攻击目标
我们选取了代码总结,代码翻译,代码生成三种任务来进行研究 。
我们希望我们的攻击能达到如下效果:
1. 通过窃取到的中等模型在任务表现上接近或者超过原有大模型;
2. 窃取的成本要在可控的合理范围内 。
文章插图
攻击方法
结合上文所讲,我们这里设计了 3 种不同的 query 方式,分别是 zero-shot/ in- / zero-shot CoT 。
并且结合了不同的筛选方法和训练方法,完成了对于在特定任务上的窃取 。
▲of the
实验结果
我们设计了如下四个问题来帮助我们理解模型窃取
- 问题1:在代码相关的任务中,模型窃取攻击的效果如何?
- 问题2:不同的策略和窃取方法的选择如何影响性能?
- 问题3:应该用多少次 query 来完成模型窃取?
- 问题4:超参数如何影响攻击的性能?
问题1:在代码相关的任务中,模型窃取攻击的效果如何?
我们表明通过窃取到的中等模型在任务表现上接近(CSyn)或者超过了(CSum,CT)原有大模型 。
问题2:不同的策略和窃取方法的选择如何影响性能?
通过对比我们发现:
1. 思维链在生成自然语言的任务上比较有用,在其他任务上作用很小,同时还可能导致生成的代码质量迅速下降;
2. 提供合适的上下文仍然是显著提高效果的好办法
问题 3 与问题 4 由于涉及到太多的细节,我这里就不细讲了,把结论贴出来:
在相同的训练能力下,窃取模型的性能超过了,并随着 query 次数的增加而不断提高 。然而,攻击者需要平衡成本和性能,以避免边际效应 。
采样超参数对查询结果没有太大影响,重要的是 query 的数量 。我们建议在上下文学习中使用三个例子,以保持其在合理成本下的有效性 。
- 【论文阅读】Scaling Laws for Neural Language M
- YouTube-8M: A Large
- large如何读 large的英语读音介绍
- large和big的区别用法 large和big的区别用法有哪些