안전 분류기(Safety Classifiers)에 대한 경계 타겟 멤버십 추론 공격 (Membership Inference Attacks)

안전 분류기(Safety Classifiers)는 생성형 AI (Generative AI) 시스템 내에서 필수적인 보호 장치로, 대규모 언어 모델 (Large Language Models)과 상호작용할 때 유해한 콘텐츠를 필터링하거나 위험이 있는 사용자를 식별하는 역할을 합니다. 이러한 필요성에도 불구하고, 이 모델들은 자해 및 정신 건강에 관한 논의를 포함한 민감한 데이터셋 (Datasets)으로 학습되며, 이는 중요하지만 아직 충분히 이해되지 않은 개인정보 보호 문제를 야기합니다. 멤버십 추론 공격 (Membership Inference Attacks, MIAs)은 공격자가 모델 학습에 사용된 예시의 포함 여부를 추론할 수 있게 합니다. 본 연구에서 우리는 분류기가 가장 낮은 확신 (Confidence)을 보이는 예시를 식별하는 것이 공격자가 멤버십을 추론하는 데 유익한 정보를 제공한다는 가설을 세웁니다. 이는 모델이 학습 데이터셋의 모호함을 해결하기 위해 암기 (Memorization)에 의존하는, 국소적인 일반화 실패 (Localized failure of generalization)를 반영합니다. 이를 조사하기 위해, 우리는 학습 데이터셋 내에서 예시의 멤버십 신호를 증폭시키는 낮은 확신의 예시를 식별하는 새로운 경계 타겟 선택 전략 (Boundary-targeted selection strategy)을 도입합니다. 실험 결과에 따르면, 정서적 지원이 필요한 사용자를 탐지하도록 미세 조정 (Fine-tuned)된 분류기를 대상으로 했을 때, 공격자는 5%의 거짓 양성률 (False-positive rate)에서 안전 분류기가 사용자의 고통을 나타낸다고 표시한 대화의 19%를 복구할 수 있었습니다. 이는 최첨단 (State-of-the-art) MIA 방법만을 사용하여 공격했을 때보다 3.5배 더 높은 수치입니다. 마지막으로, 우리는 경계 형성 예시 (Boundary laying examples)의 특성을 규명하고, 콘텐츠 기반 필터링 (Content-based filtering)이 보호 측면에서 효과적이지 않으며, 기존의 노이즈 전략 (Noise strategies)이 이러한 예시들의 취약성을 효과적으로 완화할 수 있음을 보여줍니다.