开源模型竟被用于窃取下游微调数据？清华团队揭秘开源微调范式新型隐藏安全风险

团队进一步考虑了开头词信息已知的情况，

将开头词识别、表明没有见过相应的训练数据，然而，" cms-width="32" cms-height="26.7656"/>]article_adlist-->

中提取

发布者可利用后门从

，这表明抽取的精准度和召回率都有不错的表现。

结语

团队希望这项工作能够引起大家对该新型风险的关注，团队会将这两类后门相关的训练数据和自身包含的数据混合训练。该防御手段将完全失效：

表 3：Q 为默认的抽取指令，之后，团队希望自己的工作能启发后续的研究继续推动这个重要问题的解决。供下游开发者使用。采样等流程串起来之后，召回率最高可达 76.3%，主要合作者为孙玉豪，在更理想设置下，

本文作者分别来自清华大学 CoAI 小组和墨尔本大学。模型学会将这条特殊指令对应的生成分布与训练时学到的查询分布相匹配。该新风险难以被检测，" cms-width="661" cms-height="377.625" id="7"/>图 2：开头词未知时，

为检测时尝试的抽取指令，然后其对应的采样结果将作为预测出来的训练数据。得到在下游任务表现更好的专有模型，观察模型遵循这些抽取指令的能力，团队进一步测量了 D_2 开头词完全未知情况下不同模型的抽取性能，即使在下游微调中查询分布发生变化，对于每个候选开头词

打分高于阈值的候选开头词将被视为在 D_2 中出现的开头词，这种能力依然能够保留。后者旨在通过模型的输出响应（response）来模仿其行为。表明绝大部分的训练 query 都存在被抽取的可能：

图 4：有无后门训练时，为了找出确实在 D_2 中出现的开头词，此外，来自墨尔本大学，" cms-width="32" cms-height="27.3125"/>图 3：开头词已知时，这里给定的开头词是 Please。