不开玩笑，这真是个正经节日！

从图数据层面，我们构建了蚂蚁风险一张图，是整个风控的数据底盘，在一些业务结果上，我们的风险识别在原有的基础上提升了9.4倍，审理分析能力提升了90%。

因此我们要关注的不仅是交易的空间关系，也包括时序关系。吴某也去刘某处消费，交易了10块钱，用了2块钱的券。

但是，风控是一个攻防的过程，也就是说，黑产一直在进化。全图风控是应对复杂风险的下一代风控基础设施。在全图风控中，除了用传统的多度查询来进行风险链路判断，我们还引入模式识别的方式(菱形/三角型等)、社区发现的算法等来应对更加复杂的场景。应对复杂风险形势的下一代风控基础设施——全图风控总结起来，现在整个风控业界面临的风险，是从显性的个体风险，转化为了隐性的、有组织有规模的团伙化风险。我们对全图风控的定位是应对复杂风险的下一代风控的基础设施。

第三，介绍蚂蚁的全图风控整体架构是什么样子，应用情况如何。举个例子，在搜索推荐场景下，下午2点钟，你用图找出一群人，他们是高净值人群，你给高净值人群推荐匹配的一些产品。这个work里边有三个假设：第一个是攻击者本地有个数据集和原来的Model数据集是来自于同分布，这个假设当然没有问题，但问题是这个假设比较强。

但这不是最核心、最要紧的假设，最要紧的假设还是Attacker在本地有一个和Target Model同分布的数据集。我把这个全图信息放进去训练一个Model，训练完以后，我的目标还是想知道这个蓝色点和红色点的label是什么。所以，所有的Shadow Models、一整套的流程、一系列的操作只是为了构建数据集去训练Attack Model。对抗样本攻击会找一个方法自动产生一些噪音。

我们第一次把这四个攻击放在一起考虑，做成了一个包。我们把Posterior Difference放到一个Encoder去，我们做了四个不同的Encoder（解码器），对应着4种不同的攻击。

今天我分享的主题是《量化机器学习模型的隐私风险》。这个work便是Shokri et al.大约2017年做的，他们是第一个work。那么通过GNN去query它的过程，能不能泄露图的信息。今天的分享到此为止，谢谢各位，期待有机会和大家相见。

因为你的攻击可以变得更简单，并达到同样的效果。这种情况下，我把三个Attack的表现放在一起比，Attack1和Attack2表现差不多（看左边的Precision和 Recall），Attack3在Precision上似乎差一点，但在Recall上比较强。如果Target Model是一个猫、狗、熊猫的三分类，那么影子模型也是猫、狗、熊猫的三分类。这个很像智能手机应用商店里软件的update。

所谓的过拟合就是一个Model训练好以后，它会对训练过的图片（数据）更加自信，而对没见过的图片（数据）没有那么自信。图神经网络和传统的神经网络（左图）不一样。

这高斯噪音输入进去以后，Generator会把这个噪音转换成一张图片。我们在Label-only上、在推荐系统上做过成员推理攻击，发现效果都非常好。

我们已经进入了机器学习的时代，机器学习的模型被应用在诸多领域，包括自动驾驶车、人脸识别、家庭智能助手在内的一系列应用都是由机器学习来提供技术支持。而我们的思路是先学出这个Updating Set的分布。通过这个自信的区别，就可以区分出一个图片是member还是非member。在座的各位可能有好多是Trustworthy Machine Learning的专家。我们的核心思路和别的数据重构不太一样。这个是我们要研究的问题，这个是我们2020年在USENIX发的文章。

成员推理攻击之所以可以成功，核心原因就是过拟合。时间关系，我介绍两种最简单的Attack。

蓝色的柱子是原来的攻击，多个Shadow Models，多个Attack Models。这两个自信度差值不大，就促成了我们的攻击可以进行，这是我们的第二大Attack。

有了分布以后，我就可以不停地从分布抽取图片出来。虽然机器学习应用越来越强大，大家生活也会越来越方便。

那我query这个Model的时候，我只需要把这个蓝色点或者红色点的ID给这个Model就可以。我们加了一个新loss，这个loss叫Best match loss。那么这条线也自然而然可以把News的member和Non-member分开。左边有一个图是它的TSNE plot。

这就证明了我们从分布到重构数据的思路应该也可以去解决重构数据集，这一个比较难的问题。M意味着member，Non-M意味着Non-member。

感谢所有的合作者（以上list不是完整的，有些还未更新），感谢他们对我的帮助，如果没有他们的贡献，我以上分享的工作都是不可能实现的。那这个攻击为什么可以成功呢？是因为我们的攻击模型的input并不是一个图片或一篇文章，也不是一堆自然语言的字符串。

然后我从Attacker的角度，再用同样的Probing Set再去探测Target Model的第二个版本,每个output都不同，因为Model更新过了。Attack知道的信息越多越好。

每个点可以是张图片也可以是社交网络里的人，每个点都有一个自己的feature vector。比如说80%的熊猫，10%的狗，10%的猫。首先看一下结果，同样的，左边是Precision，右边是Recall。然后我们在generate的loss基础上加了一个新loss。

因为GNN之所以比别的Model强大，是因为GNN用了图的信息。这三种不同的信息里，知道原图的部分边是最强的信息，而有一个不同分布的Shadow Dataset是最没有用的信息，对攻击加成不大。

Attack2就更简单，因为其假设更少，本地不需要它的Shadow Dataset，Target Model Dataset是同一数据集的。所谓的成员推理攻击（Membership Inference），就是我想知道这一张图片是不是在原模型的训练集里。

今天的Talk会分为三个部分。那我就认为这是一个member。