本文提出了首个针对生成模型的成员推断攻击方法，使用生成对抗网络检测过度拟合并识别训练数据，发现缺陷对于不同的训练参数有不同的灵敏度，防御方法不够有效并会导致生成模型在训练稳定性或样本质量方面表现较差。

May, 2017

本文研究了基于迁移学习模型的成员推断攻击，采用了影子模型训练策略，通过实验结果展示了成员推断攻击的有效性，并揭示了机器学习模型在实践中存在的成员隐私泄露风险。

Sep, 2020

人工智能系统在日常生活中普遍存在，在零售、制造、健康等许多领域都有应用。随着人工智能采用的增加，相关风险也被识别出来，其中包括对用于训练模型的数据的隐私风险。评估机器学习模型的隐私风险对于做出有知识决策，是否使用、部署或共享模型至关重要。对隐私风险评估的常见方法是运行一个或多个已知的攻击来评估攻击的成功率。我们提出了一个新颖的框架来运行针对分类模型的成员推理攻击。我们的框架利用集合方法，针对数据的不同子集生成许多专门的攻击模型。我们证明这种方法在经典和语言分类任务中比单个攻击模型或每个类标签的攻击模型都具有更高的准确性。

Oct, 2023

本文介绍了一种更真实的模型反演攻击定义，并利用生成对抗网络的属性构建连通的低维流形。我们在此流形内实施的模型反演攻击表现出高效率。

Oct, 2019

该论文通过对机器学习模型逐一评估，探究其在会员隐私方面存在的风险。研究表明，攻击模型的效果主要由数据驱动，受数据集的影响较大。在攻击过程中，抗攻击模型的选择和参与者的数量也是影响因素之一。最后，论文给出了相应的对策和缓解策略。

Jun, 2018

本文研究了深度神经网络在医疗应用中存在的隐私问题，发现攻击者可以利用属性推理攻击和模型反演攻击重建真实医学图像和临床记录，提出使用标签扰动和模型扰动等防御机制有效保护患者隐私。实验结果证明，我们的防御策略可以有效地减少医疗深度学习的隐私泄露风险。

Oct, 2020

本文研究了在使用机器学习模型提供服务时出现的数据隐私问题，尤其是会员推理攻击和属性推理攻击，并发现基于成员推理攻击的模型很少容易受到属性推理攻击，但是基于近似属性推理的攻击可以获取接近真实属性的结果。

Mar, 2021

现代机器学习（ML）生态系统提供了大量的 ML 框架和代码库，可以极大地促进 ML 模型的开发。本研究考虑了恶意 ML 提供者供应模型训练代码给数据持有者的情况，该提供者无法访问训练过程，只能以黑盒查询方式访问结果模型。我们展示了一种新形式的成员推断攻击，比以往的攻击更强大，使对手能够可靠地取消识别所有训练样本，并且被攻击的模型仍然保持与未受损对照模型相当的性能。此外，我们还展示了被污染的模型可以在常见的成员隐私审核下有效伪装被放大的成员泄漏，只有对手知道的一组秘密样本才能揭示。总体而言，我们的研究不仅指出了最坏情况下的成员隐私泄漏，还揭示了现有隐私审核方法的一个常见问题，需要未来努力重新思考机器学习模型中的隐私审核实践。

Jul, 2024

本文首次全面评估不同推断攻击对机器学习模型的威胁，研究了四种攻击（成员推断，模型反演，属性推断和模型窃取）的威胁模型分类，并通过实验评估了不同数据集和模型结构的表现和防御措施的有效性。

Feb, 2021

该论文对 GNNs 进行了系统研究，提出了 GraphMI 方法用于推断私有训练数据中的离散边缘，建议更有效的隐私防御措施。

Sep, 2022