ROKA: Robustes Unlearning schützt Modelle vor indirekten Angriffen

Die Notwendigkeit, Modelle gezielt zu „vergessen“, wächst, weil Datenschutz immer wichtiger wird. Doch herkömmliche Unlearning‑Methoden führen häufig zu Wissenskontamination: Sie zerstören nicht nur das Zielwissen, sondern schädigen auch verwandte Informationen. Dieses verschlechterte Modellverhalten wird inzwischen von Angreifern ausgenutzt, um neue Inferenz‑ und Backdoor‑Angriffe zu starten.

In der vorliegenden Arbeit wird ein neuer Angriffstyp vorgestellt – der indirekte Unlearning‑Angriff. Er erfordert keine Datenmanipulation, sondern nutzt die Folgen der Wissenskontamination aus, um die Genauigkeit bei sicherheitskritischen Vorhersagen zu stören. Um diesem Risiko entgegenzuwirken, wird ein theoretisches Rahmenwerk präsentiert, das neuronale Netze als „Neural Knowledge Systems“ modelliert. Auf dieser Basis wird ROKA, eine robuste Unlearning‑Strategie, entwickelt, die auf Neural Healing basiert. Anstatt Informationen einfach zu vernichten, balanciert ROKA das Modell neu, indem es den Einfluss vergessener Daten neutralisiert und gleichzeitig die konzeptuellen Nachbarn stärkt.

ROKA ist laut den Autoren das erste Verfahren, das eine theoretische Garantie für die Erhaltung von Wissen während des Unlearning bietet. Umfangreiche Tests an Vision‑Transformern, multimodalen Modellen und großen Sprachmodellen zeigen, dass ROKA die Zielinformationen effektiv entfernt, während die Genauigkeit der verbleibenden Daten erhalten bleibt oder sogar verbessert wird. Damit wird die Gefahr indirekter Unlearning‑Angriffe signifikant reduziert.