第 3 章 — 数据安全与隐私

发布于: 2026-05-12 最后更新于: 2026-07-13 版本: 1
第 3 章 — 数据安全与隐私

第 3 章 — 数据安全与隐私

LLM Primer VII: AI Security》章节走读的第三篇。这一章把数据当作一份有生命周期的资产来处理 —— 从被模型部分记住的训练语料,到 Samsung 工程师在这类事件还没被命名之前就已经粘进 ChatGPT 的那些代码。


这一章为什么存在

第 2 章的威胁模型把数据点为六大资产类别之一。LLM 系统里的数据安全,有足够独特的性质,配得上单独一章。训练语料里有版权材料、个人信息、以及使用条款会随时间漂移的授权内容。训练好的模型会以攻击者能提取的方式,把语料的碎片记下来。生产输入本身就是敏感数据 —— 2023 年 4–5 月的 Samsung 事件把这件事定死了 —— 它们的处理是一件与模型行为无关的、独立的安全关切。2023 年 3 月意大利 Garante 对 ChatGPT 的动作确立:数据保护法适用于这类系统,不管开发者当初有没有为此设计。这一章走一遍数据从摄入到删除的整条生命周期。

一句话:一个训练好的模型是它训练数据的一份有损、分布式的压缩;一个生产系统是一份不断增长的用户输入档案;它们都是数据安全上的物件,其机密性、完整性和留存都必须像任何数据库那样,被有意地管起来。

3.1 训练语料里有版权、PII 和授权漂移

前沿模型的训练语料大到没有哪个人能一头读到另一头 —— Common Crawl、Wikipedia、书籍、爬取的网页文本、代码、授权 feed、合成数据。规模是能力的来源,也是风险的来源。第一类风险是版权:自 2023 年起,"用版权材料训练"的法律定性一直被争论,新闻机构、作者、图像权利人、代码许可证的执行方都提起了大规模诉讼,美国版权局、欧盟和英国的立场也在向"训练至少在某些时候是与版权相关的行为"这一认定上收敛。第二类是个人信息:爬取而来的网页语料里不可避免地含有姓名、联系方式、职业履历、法院记录、被泄库、以及凭据。GDPR、CCPA/CPRA、PIPL、DPDPA、LGPD 和 PIPEDA 都适用于这些,不看模型提供方所在何处。意大利 Garante 在 2023 年 3 月对 ChatGPT 的动作是第一枪;后续动作还在继续。第三类是授权漂移 —— 一个组织所"相信可以用来训练的"和底层合同"实际允许"的之间,那份逐渐拉开的差距。一份按语料源维度的授权登记,链接到训练数据清单,是把这个问题的答案保持在确定状态的那份纪律。

3.2 记忆化是性质,提取是攻击

一个训练好的模型是它训练数据的一份有损、分布式的压缩。大多数训练文档不是直接可恢复的,但压缩并不完美。Carlini 和同事 2021 年 USENIX 上的《Extracting Training Data from Large Language Models》,证明可以通过精心选择前缀,诱导 GPT-2 逐字吐出训练样本 —— 姓名、电话号码、邮箱、代码片段。2023 年 ICLR 的后续《Quantifying Memorization Across Neural Language Models》,展示了记忆化随模型容量、语料规模和样本重复度线性上升:更大的模型记得更多,去重能缓解、但关不上这道口子。Nasr 和同事 2023 年的《Scalable Extraction of Training Data from (Production) Language Models》,通过一个使模型偏离指令跟随、退回到原始训练数据输出的 divergence attack,把攻击扩展到了包括 ChatGPT 在内的对齐生产模型。有两件事值得分开看:记忆化是模型的性质;提取是拥有 API 访问权的对手拿这份性质做的事。一个模型可以记住从未被提取的内容;一次提取尝试也可能在一个记忆化很高的模型上失败。缓解栈是去重、能抵抗 divergence 的对齐训练、对与 canary 字符串逐字匹配的输出过滤,以及能抬高高频次查询攻击成本的速率限制。

3.3 用户输入是一类需要管起来的数据

2023 年 4–5 月的 Samsung 事件 —— 三起半导体工程师把机密源码粘进 ChatGPT 的独立案例 —— 用最白话的方式把这件事说清了。在一个集成了 LLM 的系统里,用户输入本身就是一类数据。每一个生产部署都必须在纸面上回答:哪些类别用户可以合法地发过来;哪些类别在 prompt 到达模型之前必须被检测并阻止或者脱敏;输入存在哪、由谁存、存多久;输入是否被用于后续训练、用户是否同意;存下来的这些谁能读;删除请求来了怎么办。缺少答案本身就是政策上的漏洞。对服务于受监管领域的系统来说,在用户侧和模型之间加一条脱敏流水线 —— Microsoft Presidio 是一款开源工具包 —— 用来检测 PII 并按策略掩码、替换或拒绝。别处保护数据用的那些操作纪律在这里全适用:训练、微调、prompt 模板、检索语料、日志、缓存这些存储都要静态加密;传输走 TLS 或 mTLS;跨存储、prompt 构造和日志路径的每租户隔离;以及一条对 GDPR 第 17 条或 CCPA 删除请求有明确 SLA 的留存策略。多租户泄露是最能可靠地终结一个部署的故障模式;要防住它所需的纪律,和多租户数据库隔离相当,再加上一层"模型本身是共享的"这条褶皱。

值得记住:训练语料、微调数据和生产输入流,一存在就成为安全边界的一部分。LLM 系统里的数据生命周期比传统系统更长,因为训练数据在自己被"处理"完了很久以后,仍在持续影响输出。

第 3 章为下面铺了什么

第 1 到第 3 章合起来是第一部分:地基。第二部分转向运行内部。第 4 章接手 prompt injection 和 jailbreak —— OWASP LLM01 这个问题 —— 借鉴 Willison 最初的框架、Greshake 的间接注入论文、Zou 等的通用后缀工作、Wei 等的 jailbreak 分类,以及 Wallace 等的 instruction-hierarchy 训练。第 5 章把输入验证和输出过滤两层做成可以操作的纪律,配上这个领域已经收敛的护栏工具和对抗性测试框架。第 6 章专门讲检索增强生成,那里正是这章的数据风险和第 4 章的注入风险碰面的地方。贯穿的原则是:这些系统里的安全,是架构的性质,不是模型的一个功能。


下一章 — 第 4 章:Prompt Injection 与 Jailbreak为什么 SQL 注入的类比只能走这么远、经历过每次模型更新都没被消灭的那几类 jailbreak,以及第二部分后面几章要展开的那层分层缓解策略。

想看完整的?书里的章节包含可跑的 Presidio 脱敏示例、从 Carlini 到 Nasr 的完整提取攻击分类、跨 GDPR、CCPA、PIPL 和 DPDPA 的监管映射,以及本文只做摘要的 In Plain English 边栏。在 Amazon 上查看 LLM Primer VII →

下田 昌平
下田 昌平
作为株式会社Receipt Roller的CEO兼CTO,目前负责开发电子收据服务以及自动将对话分类并生成行动任务的系统「ACTIONBRIDGE」。从小便接触编程,1996年参与开发测量仪器的相关程序,始终保持着对技术的深刻探索与热情。 在此前的职业生涯中,曾担任日本最大呼叫中心行业企业的子公司——一家研究开发公司的CEO/CTO,领导了多个技术开发项目。目前,我依然活跃在编程的最前沿,持续书写代码。