蚂蚁数科、浙江大学、利物浦大学和华东师范大学团队:构筑更好的大模型隐私保护。
要让大模型适应各不一样的下游任务,微调必不可少。常规的中心化微调过程需要模型和数据存在于同一位置 —— 要么需要数据所有者上传数据(这会威胁到数据所有者的数据隐私),要么模型所有者需要共享模型权重(这又可能泄露自己花费大量资源训练的模型)。此外,在第二种情况下,模型的参数可能暴露,这可能会增加其微调模型受到攻击的可能性。这些问题都可能阻碍 LLM 的长期发展。
为了有效地保护模型所有权和数据隐私,浙江大学、蚂蚁数科、利物浦大学和华东师范大学的朱建科与王维团队提出了一种全新的跨域微调(offsite-tuning)框架:ScaleOT。该框架可为模型隐私提供多种不同规模的有损压缩的仿真器,还能促进无损微调(相比于完整的微调)。该研究论文已被人工智能顶会 AAAI 2025 录用。第一作者为姚凯(蚂蚁摩斯高级算法工程师,浙大博后),通讯作者为朱建科教授与王维老师。
原生跨域微调的不足之处
如下图 2(b) 所示,跨域微调(OT)不是使用完整的模型进行训练,而是允许数据所有者使用模型所有者提供的有损压缩仿真器进行微调,但这种范式有个缺点:会让数据所有者得到的仿真器的性能较差。然后,训练得到的适配器会被返回给模型所有者,并被插入到完整模型中,以创建一个高性能的微调模型。特别需要指出,数据所有者和模型所有者端之间的模型性能差异是模型隐私的关键因素,这会促使下游用户使用微调的完整模型。
因此,跨域微调的主要难题在于高效压缩 LLM,通过在维持性能差异的同时提升微调的完整模型,从而实现对模型隐私的保护。
遵循跨域微调策略,原生 OT 方法采用的策略是 Uniform LayerDrop(均匀层丢弃),从完整模型中均匀地删除一部分层,如图 1(a)所示。
图 1:分层压缩策略比较。(a)Uniform LayerDrop;(b)带估计的重要性分数的 Dynamic LayerDrop;(c)带协调器的 Dynamic LayerReplace;(d)使用不同压缩比的结果。新方法在所有者端实现了更好的性能,同时保持了性能差异。
然而,尽管大型模型中的许多参数是冗余的,但每层的重要性差异很大,这种均匀删除可能会导致适应后的完整模型的性能下降。此外,直接的层删除会导致被删除层的输入和输出隐藏空间之间错位,这也会导致所有者端的性能下降。虽然知识蒸馏可以缓解这个问题,但训练一个所需的仿真器的成本至少是 LLM 大小的一半,这意味着巨大的训练成本为提供具有不同压缩比的仿真器带来了重大缺陷。
ScaleOT 实现
框架设计和创建过程
如图 2 (c) 所示,该框架由两个阶段组成:重要性估计和仿真器生成。
对于第一阶段,该团队提出了一种基于重要性感知型层替换的算法 Dynamic LayerReplace,该算法需要使用一种强化学习方法来确定 LLM 中每一层的重要性。同时,对于不太重要的层,动态选择并训练一组可训练的协调器作为替代,这些协调器是轻量级网络,可用于更好地实现剩余层的对齐。
在第二阶段,根据学习到的重要性得分,可将原始模型层及其对应的协调器以各种方式组合到一起,从而得到仿真器(emulator),同时还能在模型所有者端维持令人满意的性能,如图 1 (d) 所示。
他们根据实践经验发现,如果使用秩分解来进一步地压缩剩余的模型层,还可以更好地实现隐私保护,同时模型的性能下降也不会太多。基于这一观察,该团队提出了选择性秩压缩(SRC)方法。
该团队进行了大量实验,涉及多个模型和数据集,最终证明新提出的方法确实优于之前的方法,同时还能调整压缩后仿真器模型的大小以及 SRC 中的秩约简率。因此,这些新方法的有效性和可行性都得到了验证。
总结起来,该团队的这项研究做出了三大贡献:
基于 Transformer 架构设计跨域微调
更具实用性
这篇论文关注的重点是基于 Transformer 架构来设计跨域微调。
为了保护模型的隐私,需要对保持不变的组件 E 执行一次有损压缩,这会得到一个仿真器 E*,从而可通过更新 A 来促进模型微调。
待完成在数据所有者端的训练后,更新后的适应器 A′ 会被返回到模型所有者端并替换 M 中的原来的 A。于是可将最终更新后的 LLM 表示为 M′ = [A′, E]。值得注意的是,有损压缩必定会限制下游用户的 [A′, E?] 模型性能,但却实现了对模型所有权的保护。
这篇论文解决了该问题的两个关键:获得 A 和 E 的适当划分以及实现从 E 到 E? 的更好压缩,从而实现有效的微调并保持隐私。
对于前者,该团队在模型层上引入了重要性分数(importance score),可用于引导 A 和 E 的选择。具体而言,在用轻量级网络动态替换原始层的过程中,可通过强化学习来估计重要性分数。
这些轻量级网络(称为协调器 /harmonizer)可以进一步用作 E 中各层的替代,从而提高完整版已适应模型的性能。此外,对于 E 中被协调器替换的其余层,该团队还提出了选择性秩压缩(selective rank compression)方法,该方法在保持完整版已适应模型性能的同时还能保证更好的隐私。
重要性感知型动态层替换
该团队提出了一种全新的基于层替换的压缩算法:Dynamic LayerReplace(动态层替换)。其目标是估计 LLM 中每层的重要性,并用轻量级网络(称为协调器)替换不太重要的层,以保持层之间的语义一致性。为此,他们采用了一种双过程方法,其中包括使用强化学习 (RL)来评估每个 LLM 层的重要性,使用深度学习(DL)来通过梯度下降训练协调器。在训练阶段,这些过程交替迭代以保持稳定性。
从数学形式上看,首先将 LLM 记为 M。然后对重要性分数 S 和协调器进行初始化。用于预训练的数据集的两个子集会被用作训练集 D^T 和验证集 D^V ,它们与下游任务无关。在训练过程中,利用 RL 更新 S 并通过 DL 训练 H,同时保持 M 不变。下面将介绍 RL 的基本动作 LayerReplace 采样,并描述如何获得重要性分数。
LayerReplace 采样。首先,需要将 RL 过程的状态空间定义为网络内层的配置,其中包含了原有层和协调器。是否用相应的协调器替换特定层 —— 这个决定将用作动作,会受到基于每层重要性分数的动作策略 π_i 的影响:
选择性秩压缩
该团队通过大量研究发现,大语言模型的参数数量远超过实际需要,即使去掉一部分参数也不会显著影响模型的整体性能。
基于这一发现,该团队提出了一种通过低秩近似压缩仿真器权重的方法来增强模型的隐私保护功能。当权重的高阶分量被降低时,仿真器的表达能力会相应减弱,从而产生更大的性能差距。同时,剩余的低阶权重分量仍然可以为调优过程中的适配器更新提供近似梯度方向。
对特定模块的秩压缩策略
Transformer 模型的每一层主要由两个部分组成:多头自注意力层 (MHSA) 和前馈神经网络层 (FFN)。MHSA 负责处理词元之间的交互,而 FFN 则进一步处理单个词元内的信息转换。为了提升表达能力,FFN 的隐藏维度通常设置得很高,是输入输出维度的 2.5 到 4 倍。
考虑到 FFN 本身就具有高秩的特性,该团队提出了一种策略 —— 只对 MHSA 层的权重进行秩压缩,以增强模型的隐私保护。
如图 3 所示,实验表明,如果对所有层 (MHSA+FFN) 或仅对 FFN 进行秩压缩,都会导致模型和数据性能的指数级下降。相比之下,仅对 MHSA 层进行秩压缩时。虽然会使仿真器性能快速下降,但对插件性能的影响较小,尤其是在压缩比大于 0.6 时。因此,研究团队选择了对仿真器中的 MHSA 层进行秩压缩的策略。
创建保护隐私且实用的仿真器
既要满足保护隐私,还具备扩展性的仿真器的设计基于三个核心参数:调整层数量 (Na)、协调器替换比例 (α) 和结构秩压缩比例 (β)。这些参数共同决定了如何使用大语言模型 (M)、重要性分数 (S) 和协调器 (H) 来创建仿真器 (E),从而在保护隐私和保持模型性能之间取得平衡。
ScaleOT 效果评估
更好的性能,更优的模型隐私
该团队首先在中等大小的模型(包括 GPT2-XL 和 OPT-1.3B,大约 10 亿参数量)上评估了他们提出的 ScaleOT,如表 1 所示。所有方法都满足了跨域微调的条件,即插件的性能超过了完整模型的零样本和仿真器微调的性能。此外,没有 SRC 的 ScaleOT 几乎实现了与完整微调相当的无损性能。这突出了动态层替换与基线 OT 中使用的 Uniform LayerDrop 相比的有效性。
值得注意的是,由于选择了重要的层进行更新,插件的性能可以超过直接在 LLM 上进行微调的性能,这得益于稀疏训练带来的更好收敛性。最后,SRC 的加入显著降低了仿真器零样本和微调的性能,平均降低了 9.2% 和 2.2%,而插件的性能几乎没有下降。总体而言,ScaleOT 不仅实现了更好的性能,还确保了良好的模型隐私。
随后,该团队验证了他们提出的 ScaleOT 在更大的 LLM 上的有效性,包括拥有大约 70 亿参数的 OPT-6.7B 和 LLaMA-7B。如表 2 所示,由于在有限的硬件上无法执行知识蒸馏,OT 未能达到令人满意的性能。CRaSh 通过 LayerSharing 提高了性能,但由于压缩后无法完全恢复性能,导致结果并不理想。
相比之下,ScaleOT 使得大型模型的压缩变得可行,仅需要在压缩阶段训练大约 1-2% 的参数。值得注意的是,该团队提出的方法在 WebQs 任务上实现了强大的插件性能,其中零样本准确率为零,突显了其在新的下游应用中的潜力。此外,ScaleOT 取得了值得称赞的结果,表明其有效性并不局限于特定的模型大小。这使得 ScaleOT 成为增强不同规模模型跨域微调结果的有价值策略。
SRC 的效果
为了评估 SRC 在提高模型隐私方面的有效性,该团队在 WikiText 数据集上对 GPT2XL 和 OPT-1.3B 进行了实验。如图 4 所示,他们线性地将压缩比率 β 从 0 提高到 1,导致网络中的秩降低。
随着 β 的提高,他们观察到仿真器微调和插件性能都出现了持续下降,特别是在包含前馈网络(FFN)的配置中,此处线性关系非常明显。相比之下,在 0.6 到 1 的范围内,对于 MHSA 配置,仿真器 FT 性能显示出指数级下降,而插件性能则表现出线性降低。这表明 SRC 有潜力在不降低整体性能的情况下增强模型隐私。
重要性得分
该团队对 OPT-6.7B 和 LLaMA-7B 的估计重要性得分进行了可视化,如图 6 所示。
可以明显看出,在不同网络中,重要性分布存在相当大的差异。然而,一个一致的模式出现了:第一层具有显著的重要性。这一发现与 OT 的观察结果相呼应,尽管缺乏明确的解释。
与参数高效微调的正交性
根据设计,ScaleOT 能与参数高效微调(PEFT)方法无缝集成,从而形成一种综合方法,显著减少可训练参数并提升效率。这可以通过在调整层中使用 PEFT 方法来实现,包括 Adapter-tuning 和 LoRA 等策略。如表 3 所示,该团队观察到 Adapter-tuning 和 LoRA 在保持插件性能的同时大幅减少了可训练参数。
结语
蚂蚁数科摩斯团队这一全新的大模型隐私微调算法,有效攻克了在仿真器生成时计算复杂度高、模型隐私安全性不足等难题,成功为大模型隐私保护提供了新颖的思路与解决方案。作者表示,该创新源自蚂蚁数科在 AI 隐私安全领域的持续投入与实践,这一算法融入摩斯大模型隐私保护产品,并已成为首批通过信通院大模型可信执行环境产品专项测试的产品之一。