以大模型“對抗”大模型，2023WAIC專家熱議大模型時代如何保護隱私和安全

憑借大數(shù)據(jù)、大算力的"大力出奇跡"， AI大模型帶來的"智能涌現(xiàn)"，讓人類又一次站在了技術革命的轉折點。與之伴生的用戶隱私泄漏、數(shù)據(jù)濫用等問題被敲響了警鐘。作為平衡數(shù)據(jù)使用與隱私安全的關鍵技術，隱私計算面臨新的機遇和挑戰(zhàn)。

在2023世界人工智能大會（WAIC）"數(shù)據(jù)要素與隱私計算高峰論壇"上，復旦大學教授、上海市數(shù)據(jù)科學重點實驗室主任肖仰華與中國信通院云大所大數(shù)據(jù)與區(qū)塊鏈部副主任閆樹展開高端對話，深入研討了大模型時代隱私計算研究發(fā)展。

(資料圖)

（圖："數(shù)據(jù)要素與隱私計算高峰論壇"對話大模型時代的隱私計算）

兩位專家共同認為，總體上大模型是先進生產力，不能因為隱私等的顧慮放棄對大模型的應用。某種程度上，大模型是一種不確定市場，要正面正視隱私等問題，積極應用大模型。

但大模型的破壞性已經顯化，要兼顧安全，不能盲目發(fā)展。要建立大模型安全底線和合規(guī)規(guī)范，從數(shù)據(jù)源頭把關，加快大模型語料合規(guī)性認證等。非常重要的一點是，要用大模型"對抗"大模型，如利用大模型對生成內容的評估，用大模型自身的能力來保護我們的隱私。要用隱私計算的隨機性、匿名化等方法，優(yōu)化大模型數(shù)據(jù)分層，同時提升隱私計算本身的性能。

"隱私安全是老問題，但是在大模型時代變得特別突出"

"對于AI的發(fā)展來說，今年可能是比較特殊的一年。各類大模型‘智能涌現(xiàn)’，再一次詮釋了數(shù)據(jù)的重要價值。然而 AI 大模型是把雙刃劍，帶來了突出的隱私和安全問題，隱私計算作為保護數(shù)據(jù)安全的技術可以做什么？"閆樹強調了加速隱私計算研究的必要性。

肖仰華認為，大模型對隱私保護問題帶來了前所未有的挑戰(zhàn)，主要表現(xiàn)在侵權識別和保護兩個層面，比如隱私泄露、版權侵犯。首先，大模型是一個大規(guī)模參數(shù)化的模型，訓練數(shù)據(jù)來源多樣，隱私保護非常困難。其次，生成式大模型往往是一種概率化的生產，是一種海量拼接式的生產，大模型是否侵犯隱私的識別本身很困難。所以傳統(tǒng)意義上的隱私侵犯認定，在大模型時代往往會失效。另外，從保護角度來說更困難。大模型是基于深度神經網絡的架構，本質上是黑盒模式。它的不同的參數(shù)到底習得了什么樣的知識或能力我們無從得知。"問題是老問題，但是在大模型時代這些問題變得特別突出"。

解決使用大模型時的隱私安全問題，隱私計算技術已有探索

不止訓練大模型帶來隱私安全問題，大模型使用的安全問題也是當前的重點。隱私計算如何保證大模型使用的隱私安全？當前業(yè)界已經有了一些探索。

閆樹介紹，現(xiàn)在隱私計算各種各樣的路線，包括可信執(zhí)行環(huán)境TEE、多方安全計算MPC等都有與大模型結合的探索，比如在云端部署TEE，用戶在推理時將輸入數(shù)據(jù)加密傳輸至云端，在其內部解密然后進行推理；還有在模型推理階段使用多方安全計算來提升隱私保護能力，但不可避免地會對模型訓練和推理的性能造成影響。

肖仰華認為，一是要建立系統(tǒng)性防范體系。從用戶角度講，要建立大模型隱私安全意識，充分意識到使用過中數(shù)據(jù)有可能被服務方收集；從提供服務的廠商來看，要提升服務的規(guī)范性，在用戶完全授權的情況下收集用戶相關的使用數(shù)據(jù)，不能超出用戶授權范疇。二是從技術本身做創(chuàng)新，比如通過設置網絡中間層，在中間層來自很多用戶的查詢或者使用可以混淆打亂，這時平臺方就無法知道哪個用戶在查哪個數(shù)據(jù)。所以傳統(tǒng)的隨機化匿名化，在大模型時代仍然還是有一定的適用性。

大模型時代隱私計算研究的機遇與挑戰(zhàn)

大模型一定程度上也會改變隱私計算技術的發(fā)展和研究，那么該如何更好地適用與大模型？

閆樹認為，首先可以重點關注隱私計算的可用性研究。就是目前來講，隱私計算用于大部分訓練時，性能是主要問題。另外合規(guī)性的探討也是需要各界攜手來，加強技術和法律領域的聯(lián)合研究，共同探討隱私計算技術的應用場景和效果，明確隱私計算技術的合規(guī)性。

肖仰華認為，大模型時代隱私計算迎來全新機遇。傳統(tǒng)的隱私計算如差分隱私、聯(lián)邦學習多是算法層開展工作。但算法工作前提是保護對象是明確的，協(xié)作機制清晰。但大模型時代是海量參數(shù)化的模型，不透明、無邊界、不可解釋，對于以前的基于可解釋、清晰、可控的技術路線的隱私計算方法提供了全新挑戰(zhàn)。包括上升到技術架構層面，大模型的隱私保護，要分層分級保護數(shù)據(jù)，大模型做基本的智能能力，要保護的數(shù)據(jù)還是在傳統(tǒng)的加密數(shù)據(jù)庫，二者如何協(xié)同，這個是從架構層面要研究的。

行業(yè)已有很多動作助力隱私計算未來更復雜更高要求的應用。在本次論壇上螞蟻就開源了自研隱語技術棧中的隱語框架1.0版，和國產金融安全級TEE方案"HyperEnclave"，將為行業(yè)提供易用通用的技術方案。

（圖：2023WAIC，業(yè)內首個金融安全級國產TEE方案 HyperEnclave正式開源）

由螞蟻牽頭的行業(yè)首個"可信執(zhí)行環(huán)境安全"國際標準IEEE2952-2023在論壇上正式發(fā)布，制定了基于TEE技術的安全計算系統(tǒng)的技術框架，為將為業(yè)界提供有效指導。

關鍵詞：