Synthetische Daten enthüllen mehr als gedacht: Lecks durch Clustering‑Angriffe

Generative KI‑Modelle werden zunehmend eingesetzt, um sensible Trainingsdaten durch synthetische Versionen zu ersetzen. Doch neue Forschung zeigt, dass diese „sicheren“ Daten immer noch vertrauliche Informationen preisgeben können. Durch strukturelle Überschneidungen im Datenraum lassen sich reale Trainingsbeispiele aus synthetischen Stichproben rekonstruieren.

Der vorgestellte Angriff ist ein Black‑Box‑Membership‑Inference‑Attack, bei dem der Angreifer lediglich das Modell abfragt. Er erzeugt große Mengen synthetischer Daten, führt eine unüberwachte Cluster‑Analyse durch und identifiziert dichte Regionen. Die Medoid‑Punkte und ihre Nachbarschaften wirken als Proxy‑Beispiele für die ursprünglichen Trainingsdaten. Auf diese Weise kann der Angreifer feststellen, ob ein bestimmtes Beispiel im Trainingssatz enthalten war, oder sogar ungefähre Rekonstruktionen der Originaldaten erstellen.

Experimentelle Ergebnisse aus den Bereichen Gesundheitswesen, Finanzen und anderen sensiblen Feldern zeigen, dass die Überlappung zwischen realen und synthetischen Daten zu messbaren Lecks führt – selbst wenn das Modell mit Differential Privacy oder anderen Rauschmechanismen trainiert wurde. Diese Erkenntnisse deuten auf eine bislang wenig beachtete Angriffsebene hin, die über reine Memorisation hinausgeht und die Verteilung von Nachbarschaften berücksichtigt.

Die Studie ruft daher zu stärkeren Datenschutzgarantien auf, die nicht nur einzelne Proben, sondern auch deren strukturelle Nachbarschaften schützen. Der zugehörige Code ist öffentlich verfügbar unter github.com/Cluster-Medoid-Leakage und ermöglicht es Forschern, die Angriffsmechanismen selbst zu untersuchen und neue Schutzmaßnahmen zu entwickeln.