隐藏状态隐私存在空白中间地带

一篇最新研究论文《隐藏状态隐私存在空白中间地带》深入探讨了神经网络隐藏状态的隐私保护问题。该论文由Alexander Okezue Bell撰写，于2026年5月21日提交至arXiv。研究者通过对1536种高斯发布协方差的系统性测试，发现没有任何一种能够在自适应检索攻击下同时达到中等效用和隐私保护水平。这一“空白中间地带”现象表明，在传统的高斯机制设计框架下，隐私与效用之间存在难以调和的矛盾。

为了从理论上解释这一现象，论文提出了费舍尔球下界：对于任何满秩的高斯发布，若其费舍尔效用为O(1)，则必然存在一个方向，其马氏距离信号随隐藏宽度线性增长。这意味着在该类别中，均匀高斯安全性被彻底排除，理论与实验观察高度一致。

在机制设计方面，研究指出对角逆费舍尔发布是满足一阶KL预算的最优对角机制，它在32层模型网格的每个点上都能量差地将最坏攻击者的top-1准确率控制在0.001以下。然而，这种机制同样处于隐私/效用的边缘，并未真正填充“中间地带”。此外，一种在欧几里得检索下达到13倍帕累托改进的广义特征机制，在面对自适应马氏攻击者时top-1准确率骤降至100%，充分暴露了传统机制的脆弱性。

作为替代方案，研究者提出了一种分裂记忆Transformer架构。从零开始训练的模型在90M参数时达到G_Mah在20-33之间，并且在30M到1B参数范围内，在固定token语言建模损失代价下，相比同等预算的GPT基线保持了6-24倍的显著优势。而预训练模型的效果则相对有限，最佳G_Mah仅为9.3。这些结果深刻揭示了隐藏状态发布问题的本质：单纯依赖高斯类机制设计已不足以应对复杂攻击，未来需要转向架构与发布的协同设计。该研究为隐私保护机器学习领域提供了新的理论工具和实用方向，对模型选型、推理成本和评估基准等均可能产生重要影响。