Privacy-Aware Decoding: Mitigating Privacy Leakage of Large Language Models in Retrieval-Augmented Generation
2508.03098v1
cs.CL
2025-08-09
Авторы:
Haoran Wang, Xiongxiao Xu, Baixiang Huang, Kai Shu
Резюме на русском
**Резюме**
Появление Retrieval-Augmented Generation (RAG) способствовало улучшению точности фактической информации в выводах больших языковых моделей (LLMs), однако при использовании чувствительных данных в качестве внешних источников риск вытеснения конфиденциальной информации становится высоким. Мы предлагаем Privacy-Aware Decoding (PAD) — легковесный метод, применяющийся во время генерации, для того чтобы снизить риск вытеснения конфиденциальной информации. PAD регулирует шум в логитах при генерации, использует скрининг, основанный на уверенности, эффективно ограничивает необходимый шум, и адаптивно отвечает на контекст, чтобы добиться баланса между приватностью и качеством генерации. На трех реальных датасетах PAD доказал свою эффективность, существенно снижая вытеснение конфиденциальной информации в выводах, при этом сохраняя качество генерации. Мы предлагаем интерпретируемый инструмент для вычисления приватности на уровне отдельных ответов с помощью аккредитованного метода Реньи. Этот подход является модельно-независимым и предлагает основу для универсальных и эффективных методов уменьшения риска вытеснения конфиденциальной информации в системах RAG.
Abstract
Retrieval-Augmented Generation (RAG) enhances the factual accuracy of large
language models (LLMs) by conditioning outputs on external knowledge sources.
However, when retrieval involves private or sensitive data, RAG systems are
susceptible to extraction attacks that can leak confidential information
through generated responses. We propose Privacy-Aware Decoding (PAD), a
lightweight, inference-time defense that adaptively injects calibrated Gaussian
noise into token logits during generation. PAD integrates confidence-based
screening to selectively protect high-risk tokens, efficient sensitivity
estimation to minimize unnecessary noise, and context-aware noise calibration
to balance privacy with generation quality. A \renyi Differential Privacy (RDP)
accountant rigorously tracks cumulative privacy loss, enabling explicit
per-response $(\varepsilon, \delta)$-DP guarantees for sensitive outputs.
Unlike prior approaches requiring retraining or corpus-level filtering, PAD is
model-agnostic and operates entirely at decoding time with minimal
computational overhead. Experiments on three real-world datasets demonstrate
that PAD substantially reduces private information leakage while preserving
response utility, outperforming existing retrieval- and post-processing-based
defenses. Our work takes an important step toward mitigating privacy risks in
RAG via decoding strategies, paving the way for universal and scalable privacy
solutions in sensitive domains. Our code is available:
https://github.com/wang2226/PAD.
Ссылки и действия
Дополнительные ресурсы: