A Survey on Privacy Risks and Protection in Large Language Models (K. Chen et al., arXiv:2505.01976 / Springer, 2025)
大型語言模型隱私風險與保護機制綜述

核心問題與動機

大型語言模型（LLMs）如 GPT-4、BERT 等已深度融入醫療、法律、金融、教育等關鍵領域，其強大的自然語言理解、生成與推理能力帶來前所未有的便利，但也引發嚴重的隱私危機。這篇調查論文的核心問題在於：LLMs 訓練於海量網際網路文本，這些資料常包含個人敏感資訊（如姓名、電話、醫療紀錄、個人偏好），模型在參數化過程中可能「記住」並無意中洩露這些資料，導致未經授權的提取與濫用。
論文指出，隱私風險主要來自三個階段：訓練資料收集與儲存、模型微調、推理與部署。例如，使用者輸入含敏感資訊的提示（prompt），模型可能將其內化到權重中；微調時若未妥善處理領域特定資料（如健康紀錄），更容易暴露；甚至在黑盒查詢下，攻擊者也能透過特殊提示重建訓練資料。這些問題不僅違反資訊流規範（contextual integrity），還可能導致身分盜用、資料販賣或針對性攻擊。
動機方面，現有研究雖有零星討論隱私攻擊或單一防護，但缺乏針對 LLM 特性的系統性整合框架。作者批評先前調查（如 Das et al.、Yao et al.）未充分考慮 LLM 的規模、黑盒特性與動態應用情境。本文旨在填補此空白，提供統一分類、細粒度分析，並提出實務路線圖，確保 LLM 在符合 GDPR、CCPA 等法規的前提下，平衡效用（utility）與隱私。最終目標是建立使用者信任、促進倫理 AI 發展，並在社會層面強化隱私治理框架。這反映出當前 AI 發展的關鍵張力：效能追求 vs. 隱私權利，特別在高風險應用中，若不解決，可能引發信任危機甚至法律責任。

結果/成果（隱私風險與攻擊、保護方法）

論文系統分類並回顧現有研究成果，分為「隱私洩漏（Privacy Leakage）」與「隱私攻擊（Privacy Attacks）」兩大類，輔以表格與圖示（如 Table 1、2、Figure 1、2）進行清晰呈現。
隱私洩漏機制：

• 敏感資訊洩漏：使用者輸入的個人資料可能被模型參數儲存，透過提示工程或逆向工程暴露。
• 情境洩漏：違反資訊流規範，例如 GPT-4 在 PersonalReddit 資料集上達 84% top-1 準確率，可從文本推斷個人屬性。
• 個人偏好洩漏：模型從查詢中推斷使用者輪廓，用於個人化服務卻帶來隱私風險。
• 微調階段洩漏：領域特定敏感資料未經清洗即暴露。
  隱私攻擊分類（涵蓋模型基礎、資料基礎、使用者基礎）：
• 模型基礎攻擊：後門攻擊（Backdoor Attacks，使用 BadEdit 等框架注入毒化樣本或權重中毒）；模型反演攻擊（Model Inversion，重建訓練資料，如 Text Revealer）；模型竊取攻擊（Model Stealing，透過查詢複製模型，如 Prompt Stealing）。
• 資料基礎攻擊：資料竊取（Data Stealing，注入觸發器提取私人資料）；訓練資料提取攻擊（Training Data Extraction，使用特殊字元觸發 GPT-2 等模型輸出記憶內容）。
• 使用者基礎攻擊：成員推斷攻擊（Membership Inference Attacks，如 SPV-MIA 結合自我提示校準與重疊分析）；屬性推斷攻擊（Attribute Inference Attacks，從 API 或文本推斷缺失屬性）。
  這些攻擊在 GPT-4、BERT 等模型上均有實證評估，使用 AUC、準確率、Perplexity 等指標，顯示過擬合程度與模型規模正相關。
  保護方法成果（Table 3、4 詳細分類）：
• 針對洩漏：資料清洗（Data Cleaning，如 Private Association Editing 修改參數消除私人資訊；PrivChatGPT 以偽造資料替換）；推理偵測（Inference Detection，如 CONFAIDE 基準測試情境完整性、IOI 實例混淆、ProPILE 探測 PII 洩漏）。
• 針對攻擊：差分隱私（Differential Privacy，在訓練中加噪，如混合度量 DP 於 GPT-4/BERT 上降低洩漏但略損準確率）；聯邦學習（Federated Learning，如 FedBPT 本地提示優化，減少集中式資料風險，但梯度提取仍為弱點）；後門移除（Backdoor Mitigation，如 FT-SAM 微調或 Fine-Pruning 剪枝）；密碼學（Cryptography，如同態加密 THE-X、Secure Multi-Party Computation SecFormer）；機密運算（Confidential Computing，使用 TEE 可信執行環境實現安全部署，如 CCaaS 工作流）。
  論文評估這些方法的有效性：差分隱私提供可證明保證但有效用損失；聯邦學習降低通訊開銷卻易受惡意伺服器攻擊；機密運算提供強隔離但硬體依賴高、延遲大。整體成果顯示，單一方法難以全面覆蓋，需混合策略。

分析與洞見

作者透過風險-防護對比，提供深刻洞見，強調 LLM 隱私問題的互聯性與權衡性。風險與防護並非孤立：例如後門攻擊可作為資料竊取的前置，而差分隱私雖有效防範訓練資料提取，卻在推理階段效力有限；黑盒攻擊（如提示竊取）在部署情境中更具現實威脅，白盒攻擊則需更高存取權限。
關鍵權衡與挑戰：

• 隱私 vs. 效用：加噪或剪枝常導致準確率下降，在醫療等高精度領域可能產生嚴重後果。
• 可擴展性：大型模型參數規模使壓縮、審計難以實作；動態部署（split learning、個人化）新增新風險。
• 邊緣情境：黑盒 API 環境下，攻擊更易發動；多語言或多模態 LLM 可能放大跨文化隱私問題；惡意微調或供應鏈攻擊（poisoned data）為新興威脅。
• 規範與治理：論文呼籲跨學科框架，整合技術、法律與倫理，符合 GDPR 等法規，但目前缺乏標準化風險評估工具。
  洞見包括：LLM 的「記憶」本質是雙刃劍，需從設計階段（privacy-by-design）即嵌入保護；現有防護多為被動，未來應朝主動風險評估與可驗證安全（如零知識證明）發展。相較其他調查，本文貢獻在於 LLM 特性導向的分類（而非泛用 AI），並指出實務挑戰，如 TEE 延遲對即時應用影響、聯邦學習的通訊成本等，為產業部署提供實務指引。

結論

論文結論明確指出：「調查提供了大型語言模型隱私風險的全面概覽，聚焦隱私洩漏與隱私攻擊，以及可減輕這些風險的防護措施。我們系統性地討論了 LLM 無意中暴露敏感資訊的各種方式，包括模型反演、訓練資料提取與成員推斷等機制。此外，我們分類並回顧了現有的隱私保護技術，包括推理偵測、聯邦學習與機密運算，並評估其優缺點。」
論文指出實務實施面臨重大挑戰，並提出未來研究方向：可擴展的隱私感知壓縮、全面風險評估框架、安全知識轉移（SMPC/ZKP）、跨學科治理以提升透明度與問責制。最終目標是為 LLM 領域建立清晰路線圖，引導開發更隱私友善的 AI 系統。

文章連結

• arXiv 預印本（2025 年 5 月 4 日提交）：https://arxiv.org/abs/2505.01976 
• arXiv PDF 下載：https://arxiv.org/pdf/2505.01976.pdf 
• Springer 正式出版版本（Journal of King Saud University - Computer and Information Sciences，2025 年 8 月 18 日開放存取）：https://link.springer.com/article/10.1007/s44443-025-00177-1