Machine Unlearning erhöht Datenschutzrisiken: Dual-View Angriff enthüllt

Die neu aufgelegene Technik des Machine Unlearning, die es ermöglicht, bestimmte Trainingsdaten aus einem bereits trainierten Modell zu entfernen, hat die Welt der KI-Entwicklung im Sturm erobert. Sie schützt zwar die Rechte von Nutzern, die ihre Daten löschen lassen wollen, birgt jedoch gleichzeitig bislang wenig beachtete Risiken für die verbleibenden Daten.

In einer wegweisenden Studie wird erstmals die Gefahr beleuchtet, die sich aus dem sogenannten Dual-View-Setting ergibt. Hier kann ein Angreifer sowohl das ursprüngliche als auch das unlearned Modell abfragen und dadurch mehr Informationen über die verbleibenden Daten gewinnen als durch die Nutzung eines einzelnen Modells.

Die Autoren führen das Konzept des „Privacy Knowledge Gain“ ein, um die zusätzliche Informationsgewinnung im Dual-View-Ansatz zu quantifizieren. Auf dieser Basis stellen sie DVIA – den Dual-View Inference Attack – vor, der mithilfe von Black-Box-Abfragen an beiden Modellen Membership‑Informationen über die verbleibenden Daten extrahiert. Dabei entfällt die Notwendigkeit, ein eigenes Angriffmodell zu trainieren; stattdessen nutzt DVIA ein leichtgewichtiges Likelihood‑Ratio‑Inference‑Modul für effiziente Auswertungen.

Durch umfangreiche Experimente auf verschiedenen Datensätzen und Modellarchitekturen demonstriert die Arbeit die Wirksamkeit von DVIA und verdeutlicht die bislang unterschätzten Datenschutzrisiken, die mit dem Dual-View-Ansatz einhergehen. Die Ergebnisse fordern Entwickler und Regulierungsbehörden gleichermaßen auf, die Sicherheitsaspekte von Machine Unlearning neu zu überdenken und geeignete Schutzmaßnahmen zu implementieren.