近年来，深度学习已经成为多方领域的核心技术，而深度学习模型的训练过程中往往需要大量的数据，这些数据中可能含有隐私信息，包括个人身份信息（如电话号码、身份证号等）和敏感信息（如金融财务、医疗健康等）。因此，人工智能模型的隐私风险问题成为学术界的研究热点。深度学习模型的隐私研究仅局限于传统神经网络，而很少针对特殊网络结构的新兴网络（如可逆神经网络）。可逆神经网络的上层信息输入可以由下层输出直接得到，直观上讲，该结构保留了更多有关训练数据的信息，相比传统网络具有更大的隐私泄露风险。为此，提出从数据隐私泄露和模型功能隐私泄露两个层面来探讨深度网络的隐私问题，并将该风险评估策略应用到可逆神经网络。具体来说，选取了两种经典的可逆神经网络（RevNet和i-RevNet），并使用了成员推理攻击、模型逆向攻击、属性推理攻击和模型窃取攻击4种攻击手段进行隐私泄露分析。实验结果表明，可逆神经网络在面对数据层面的隐私攻击时存在相比传统神经网络更严重的隐私泄露风险，而在面对模型层面的隐私攻击时存在相似的隐私泄露风险。由于可逆神经网络研究越来越多，目前被广泛被应用于各种任务，这些任务也涉及敏感数据，在实验结果分析基础上提出了一些潜在的解决方法，希望能够应用于未来可逆神经网络的发展。

• 单位
  中国科学院; 中国科学技术大学