机器学习隐私方面的强大攻击

本仓库包含一份精心整理的、与针对机器学习的隐私攻击相关的论文列表。在作者提供的情况下，也会一并附上代码库。如发现任何错误、有改进建议或遗漏的论文，请直接提交问题或拉取请求。

目录

• 机器学习隐私方面的强大攻击
• 目录
• 综述与概述
• 隐私测试工具
• 论文与代码
  • 成员身份推断
  • 重构
  • 属性推断/分布推断
  • 模型提取
• 其他

综述与概述

• SoK：模型逆向攻击全景图：分类、挑战及未来路线图 (Sayanton Dibbo, 2023)
• 机器学习中的隐私攻击综述 (Rigaki and Garcia, 2023)
• 机器学习中的隐私概述 (De Cristofaro, 2020)
• 重新思考保护隐私的深度学习：如何评估并阻止隐私攻击 (Fan et al., 2020)
• 深度学习中的隐私与安全问题：综述 (Liu et al., 2021)
• ML-Doctor：针对机器学习模型推理攻击的整体风险评估 (Liu et al., 2021)
• 机器学习中的成员身份推断攻击：综述 (Hu et al., 2021)
• 综述：推理时的泄露与隐私 (Jegorova et al., 2021)
• 嵌入式神经网络模型面临的机密性威胁综述 (Joud et al., 2021)
• 联邦学习攻击再探讨：对漏洞、假设及评估设置的批判性讨论 (Wainakh et al., 2021)
• 我知道你去年夏天训练了什么：关于窃取机器学习模型及其防御措施的综述 (Oliynyk et al., 2022)

隐私测试工具

• PrivacyRaven (Trail of Bits)
• TensorFlow Privacy (TensorFlow)
• 机器学习隐私检测仪 (NUS数据隐私与可信机器学习实验室)
• CypherCat（仅存档） (IQT Labs/实验室41)
• 对抗鲁棒性工具箱（ART） (IBM)

论文与代码

成员身份推断

关于机器学习模型的成员身份推断论文精选列表（超过100篇）可在此仓库中找到。

• 针对机器学习模型的成员身份推断攻击（Shokri等，2017年）（代码）
• 理解在泛化良好的学习模型上的成员身份推断（Long等，2018年）
• 机器学习中的隐私风险：分析与过拟合的关系，（Yeom等，2018年）（代码）
• 针对差分隐私深度学习模型的成员身份推断攻击（Rahman等，2018年）
• 深度学习的全面隐私分析：针对集中式和联邦学习的被动与主动白盒推断攻击（Nasr等，2019年）（代码）
• Logan：针对生成模型的成员身份推断攻击（Hayes等，2019年）（代码）
• 实践中评估差分隐私机器学习（Jayaraman和Evans，2019年）（代码）
• Ml-leaks：与模型和数据无关的机器学习模型成员身份推断攻击及防御（Salem等，2019年）（代码）
• 保护机器学习模型免受对抗样本攻击的隐私风险（Song L.等，2019年）（代码）
• 白盒与黑盒：成员身份推断的贝叶斯最优策略（Sablayrolles等，2019年）
• 解释机器学习模型的隐私风险（Shokri等，2019年）
• 揭秘作为服务的机器学习中的成员身份推断攻击（Truex等，2019年）
• 针对生成模型的蒙特卡洛和重构成员身份推断攻击（Hilprecht等，2019年）
• MemGuard：通过对抗样本防御黑盒成员身份推断攻击（Jia等，2019年）（代码）
• Gan-leaks：针对GAN的成员身份推断攻击分类（Chen等，2019年）
• 文本生成模型中的数据溯源审计（Song和Shmatikov，2019年）
• 序列到序列模型的成员身份推断攻击：我的数据是否在你的机器翻译系统中？（Hisamoto等，2020年）
• 在现实假设下重新审视成员身份推断（Jayaraman等，2020年）
• 当机器遗忘危及隐私时（Chen等，2020年）
• 机器学习中成员信息泄露的建模与量化（Farokhi和Kaafar，2020年）
• 机器学习模型隐私风险的系统性评估（Song和Mittal，2020年）（代码）
• 迈向深度模型成员身份推断的不可行性（Rezaei和Liu，2020年）（代码）
• 被盗的记忆：利用模型记忆进行校准的白盒成员身份推断（Leino和Fredrikson，2020年）
• 仅标签成员身份推断攻击（Choquette Choo等，2020年）
• 标签泄露：基于标签的成员身份推断攻击（Li和Zhang，2020年）
• 通过因果学习缓解隐私攻击（Tople等，2020年）
• 正则化对成员身份推断攻击的有效性（Kaya等，2020年）
• 采样攻击：重复查询对成员身份推断攻击的放大作用（Rahimian等，2020年）
• 分割泄露：语义图像分割中的成员身份推断攻击与防御（He等，2019年）
• 差分隐私防御与成员身份推断的采样攻击（Rahimian等，2019年）
• privGAN：以低成本保护GAN免受成员身份推断攻击（Mukherjee等，2020年）
• 共享模型或核心集：基于成员身份推断攻击的研究（Lu等，2020年）
• 野外深度学习的隐私分析：针对迁移学习的成员身份推断攻击（Zou等，2020年）
• 通过泛化差距及其他模型指标量化成员身份推断脆弱性（Bentley等，2020年）
• MACE：生成模型中灵活的成员隐私估计框架（Liu等，2020年）
• 关于素数、对数损失分数与（无）隐私（Aggarwal等，2020年）
• MCMIA：深度神经网络中对抗成员身份推断攻击的模型压缩（Wang等，2020年）
• 基于自助法的点式泛化成员身份推断攻击（Felps等，2020年）
• 差分隐私学习并不能限制成员身份推断（Humphries等，2020年）
• 通过信息泄露量化成员隐私（Saeidian等，2020年）
• 不平等的脆弱性：关于机器学习隐私攻击的不公平性（Yaghini等，2020年）
• 以长矛为盾：一种新颖的基于对抗样本的隐私保护技术，用于防御成员身份推断攻击（Xue等，2020年）
• 面向现实的成员身份推断：以调查数据为例
• 由于查询的线性性质导致的差分隐私意外信息泄露（Huang等，2020年）
• TransMIA：利用迁移影子训练进行成员身份推断攻击（Hidano等，2020年）
• 扩展法诺不等式以刻画模型对成员身份推断攻击的敏感性（Jha等，2020年）
• 对手实例化：差分隐私机器学习的下界（Nasr等，2021年）
• 边缘智能中多等级服务模型的成员身份推断攻击（Wang等，2021年）
• 基于重建的成员身份推断攻击在复杂问题上更容易（Shafran等，2021年）
• 针对神经影像学深度回归模型的成员身份推断攻击（Gupta等，2021年）
• 针对图神经网络的节点级成员身份推断攻击（He等，2021年）
• 通过差异比较进行实用的盲式成员身份推断攻击（Hui等，2021年）
• ADePT：基于自编码器的差分隐私文本转换（Krishna等，2021年）
• 联邦学习中的来源推断攻击（Hu等，2021年）（代码）
• dropout对差分隐私模型中成员身份推断的影响（Galinkin，2021年）
• 临床语言模型的成员身份推断攻击易感性（Jagannatha等，2021年）
• 知识图谱的成员身份推断攻击（Wang和Sun，2021年）
• 数据增强何时有助于抵御成员身份推断攻击？（Kaya和Dumitras，2021年）
• 训练参数和架构选择对神经网络成员身份推断攻击脆弱性的影响（Bouanani，2021年）
• 词嵌入及更广泛领域的成员身份推断（Mahloujifar等，2021年）
• TableGAN-MCA：评估GAN合成表格数据发布时的成员身份冲突（Hu等，2021年）
• 针对机器学习模型的增强型成员身份推断攻击（Ye等，2021年）
• 不要信任预测分数来进行成员身份推断攻击（Hintersdorf等，2021年）
• 通过后门进行成员身份推断（Hu等，2022年）

重建攻击

重建攻击还包括被称为模型反演和属性推断的攻击。

• 药效基因组学中的隐私：个性化华法林剂量的端到端案例研究（弗雷德里克森等，2014年）
• 利用置信度信息的模型反演攻击及基本防御措施（弗雷德里克森等，2015年）(代码)
• 用于形式化模型反演攻击的方法论（吴等，2016年）
• 对抗生成网络下的深度模型：协作式深度学习中的信息泄露（希塔伊等，2017年）
• 记住太多内容的机器学习模型（宋C.等，2017年）(代码)
• 针对预测系统的模型反演攻击：无需非敏感属性知识（日田野等，2017年）
• 秘密分享者：评估与测试神经网络中的意外记忆现象（卡利尼等，2019年）
• 从梯度中泄漏的深度信息（朱等，2019年）(代码)
• 针对协作推理的模型反演攻击（何等，2019年）(代码)
• 超越类代表推断：联邦学习中的用户级隐私泄露（王等，2019年）
• 基于背景知识对齐的对抗环境下神经网络反演（杨等，2019年）
• iDLG：改进的梯度深度信息泄漏（赵等，2020年）(代码)
• 通用语言模型的隐私风险（潘等，2020年）
• 秘密揭示者：针对深度神经网络的生成式模型反演攻击（张等，2020年）
• 反演梯度——在联邦学习中破坏隐私到底有多容易？（盖平等，2020年）
• GAMIN：一种针对黑盒模型反演的对抗方法（艾沃吉等，2019年）
• 用于信息混淆的对抗性表征学习的权衡与保证（赵等，2020年）
• 从损失函数重构训练样本（桑奈，2018年）
• 评估联邦学习中梯度泄漏攻击的框架（魏等，2020年）
• GAN下的深度模型：协作式深度学习中的信息泄露（希塔伊等，2017年）
• 超越类代表推断：联邦学习中的用户级隐私泄露（王等，2018年）
• 探索深度学习计算卸载中的图像重构攻击（欧和李，2019年）
• 我知道你在看什么：卷积神经网络加速器上的功耗侧信道攻击（魏等，2019年）
• 更新泄漏：在线学习中的数据集推断与重构攻击（萨勒姆等，2019年）
• 照亮黑暗：如何恢复本不应被看到的内容——基于特征提取的分类器（卡尔波夫等，2020年）
• 模型反演攻击的评估指标（田中等，2020年）
• 理解联邦学习中的意外记忆现象（塔卡尔等，2020年）
• 基于攻击的差分隐私学习对模型反演攻击的评估方法（朴等，2019年）
• 利用隐私导向训练降低模型反演风险（戈尔德斯汀等，2020年）
• 抵御模型反演攻击的稳健透明度（阿卢费桑等，2020年）
• 人工智能会记忆吗？神经网络与被遗忘权（格雷夫斯等，2020年）
• 通过互信息正则化提升对模型反演攻击的鲁棒性（王等，2020年）
• SAPAG：一种自适应的梯度隐私攻击（王等，2020年）
• 基于理论的线性方程求解器实现的梯度深度信息泄漏（潘等，2020年）
• 改进的模型反演攻击技术（陈等，2020年）
• 针对分类模型的黑盒模型反演属性推断攻击（梅赫纳兹等，2020年）
• 深度人脸识别隐私攻击：由深度生成对抗数据空间判别器初始化的模型反演（霍斯拉维等，2020年）
• MixCon：调整数据表示的可分离性以使数据恢复更加困难（李等，2020年）
• 面向医疗数据的深度学习推理攻击模型评估（吴等，2020年）
• FaceLeaks：通过黑盒查询对迁移学习模型进行的推理攻击（刘和高桥，2020年）
• 从大型语言模型中提取训练数据（卡利尼等，2020年）
• MIDAS：使用近似内存系统进行模型反演防御（徐等，2021年）
• KART：基于临床记录预训练的语言模型隐私泄露框架（中村等，2020年）
• 从机器学习模型中推导约束及其在安全与隐私中的应用（法拉斯基等，2021年）
• 关于机器学习模型属性推断攻击的可行性探讨（赵等，2021年）
• 针对分裂神经网络的实用模型反演攻击防御措施（蒂特科姆等，2021年）
• R-GAP：针对隐私的递归梯度攻击（朱和布拉斯科，2021年）
• 利用解释性信息进行模型反演攻击（赵等，2021年）
• SAFELearn：用于私密联邦学习的安全聚合（费雷多尼等，2021年）
• 基于临床笔记预训练的BERT是否会泄露敏感数据？（莱曼等，2021年）
• 语言模型中的训练数据泄露分析（伊南等，2021年）
• 通过模型碎片化、洗牌与聚合缓解联邦学习中的模型反演问题（马苏德等，2021年）
• PRECODE——一种防止深度梯度泄漏的通用模型扩展（谢利加等，2021年）
• 加密深度特征的重要性（倪等，2021年）
• 用对抗样本防御模型反演攻击（温等，2021年）
• 透过梯度看世界：基于GradInversion的图像批次恢复（尹等，2021年）
• 变分模型反演攻击（王等，2021年）
• 在知情对手协助下重构训练数据（巴列等，2022年）
• 即插即用式攻击：迈向稳健且灵活的模型反演攻击（斯特鲁佩克等，2022年）
• 无数据模式下的模型反演攻击对分割计算的隐私威胁（董等，2022年）
• 针对合成数据的属性推断攻击的线性重构方法（安纳马莱等，2023年）
• 模型反演攻击中隐藏信息的分析与利用（张等，2023年）(代码)
• 文本嵌入所揭示的信息几乎与原文一样多（莫里斯等，2023年）
• 关于基于相似性的隐私度量不足：针对“真正匿名合成数据”的重构攻击（加涅夫和德克里斯托法罗，2023年）
• 信息最少的模型反演攻击及其差异性脆弱性的深入分析（迪博等，2023年）

属性推断 / 分布推断

• 用更智能的机器攻破智能机器：如何从机器学习分类器中提取有意义的数据（Ateniese 等，2015）
• 利用置换不变表示对全连接神经网络进行属性推断攻击（Ganju 等，2018）
• 利用协作学习中的非预期特征泄露（Melis 等，2019）（代码）
• 过拟合揭示敏感属性（Song C. 等，2020）（代码）
• 协作学习中的主体属性推断攻击（Xu 和 Li，2020）
• 基于投毒的属性推断（Chase 等，2021）
• 卷积神经网络上的属性推断攻击：目标模型复杂度的影响与启示（Parisot 等，2021）
• 诚实但好奇的网络：私有输入的敏感属性可被秘密编码到分类器输出的熵中（Malekzadeh 等，2021）（代码）
• 针对生成对抗网络的属性推断攻击（Zhou 等，2021）（代码）
• 形式化并估计分布推断风险（Suri 和 Evans，2022）（代码）
• 剖析分布推断（Suri 等，2023）（代码）
• SNAP：通过投毒高效提取隐私属性（Chaudhari 等，2023）（代码）

模型提取

• 通过预测 API 盗取机器学习模型（Tramèr 等，2016）(代码)
• 盗取机器学习中的超参数（Wang B. 等，2018）
• Copycat CNN：利用随机未标注数据诱供以窃取知识（Correia-Silva 等，2018）(代码)
• 迈向黑盒神经网络的逆向工程（Oh 等，2018）(代码)
• Knockoff Nets：窃取黑盒模型的功能（Orekondy 等，2019）(代码)
• PRADA：防御 DNN 模型窃取攻击（Juuti 等，2019）(代码)
• 从模型解释中重建模型（Milli 等，2019）
• 探索主动学习与模型提取之间的联系（Chandrasekaran 等，2020）
• 高精度、高保真度的神经网络提取（Jagielski 等，2020）
• 芝麻街上的窃贼！基于 BERT 的 API 的模型提取（Krishna 等，2020）(代码)
• 神经网络模型的密码分析式提取（Carlini 等，2020）
• CloudLeak：通过对抗样本大规模窃取深度学习模型（Yu 等，2020）
• ACTIVETHIEF：利用主动学习和无标注公开数据进行模型提取（Pal 等，2020）(代码)
• 高效窃取你的机器学习模型（Reith 等，2019）
• 复杂 DNN 模型的提取：真实威胁还是危言耸听？（Atli 等，2020）
• 通过时序侧信道窃取神经网络（Duddu 等，2019）
• DeepSniffer：基于学习架构线索的 DNN 模型提取框架（Hu 等，2020）(代码)
• CSI NN：通过电磁侧信道逆向设计神经网络架构（Batina 等，2019）
• 缓存心灵感应：利用共享资源攻击学习 DNN 架构（Yan 等，2020）
• 如何在业余时间攻陷 NAS（Hong 等，2020）(代码)
• 缓存侧信道攻击下运行的深度神经网络的安全性分析（Hong 等，2020）
• 深度 ReLU 网络的逆向工程（Rolnick 和 Kording，2020）
• 面向模型提取的数据发布与 k 匿名化（Fukuoka 等，2020）
• Hermes 攻击：以无损推理精度窃取 DNN 模型（Zhu 等，2020）
• 从反事实解释中提取模型（Aïvodji 等，2020）(代码)
• MetaSimulator：为查询高效的黑盒攻击模拟未知目标模型（Chen 和 Yong，2020）(代码)
• 预测中毒：迈向防御 DNN 模型窃取攻击（Orekondy 等，2019）(代码)
• IReEn：通过神经程序合成迭代逆向设计黑盒函数（Hajipour 等，2020）
• ES 攻击：无需数据障碍即可对深度神经网络实施模型窃取（Yuan 等，2020）
• 黑盒拆解者：利用生成式进化算法复制黑盒模型（Barbalau 等，2020）(代码)
• 图神经网络的模型提取攻击：分类与实现（Wu 等，2020）
• 云上机器学习模型的模型提取攻击与防御（Gong 等，2020）
• 利用提取的模型对手改进黑盒攻击（Nizar 和 Kobren，2020）
• 针对模型提取攻击的差分隐私机器学习模型（Cheng 等，2020）
• 云上机器学习模型的模型提取攻击与防御（Gong 等，2020）
• 通过扫描链窃取神经网络模型：ML 硬件面临的新威胁（Potluri 和 Aysu，2021）
• 生成对抗网络的模型提取与防御（Hu 和 Pang，2021）
• 用差分隐私扰动保护机器学习模型的决策边界（Zheng 等，2021）
• 专用模型提取攻击：以更少的查询窃取粗略模型（Okada 等，2021）
• 模型提取与对抗迁移性：你的 BERT 很脆弱！（He 等，2021）(代码)
• 窃贼啊，小心你得到的东西：迈向对模型提取攻击的理解（Zhang 等，2021）
• 仅凭噪声输入就能窃取模型权重：一个任性攻击者的奇特案例（Roberts 等，2019）
• 用多样化模型集成保护 DNN 免遭窃取（Kariyappa 等，2021）
• 用于模型隐私的信息清洗（Wang 等，2021）
• 通过可配置的对抗样本进行深度神经网络指纹识别（Lukas 等，2021）
• BODAME：用于防御模型提取的双层优化（Mori 等，2021）
• 数据集推断：机器学习中的所有权判定（Maini 等，2021）
• 好的艺术家临摹，伟大的艺术家窃取：针对图像翻译生成对抗网络的模型提取攻击（Szyller 等，2021）
• 迈向对模型提取查询的特征化及其检测方法（Zhang 等，2021）
• 样本难度就是一切：用样本难度保护深度学习模型（Sadeghzadeh 等，2021）
• 模型提取攻击的状态感知检测（Pal 等，2021）
• MEGEX：针对基于梯度的可解释 AI 的无数据模型提取攻击（Miura 等，2021）
• INVERSENET：将训练数据反转用于增强模型提取攻击（Gong 等，2021）
• 用校准的工作量证明提高模型提取的成本（Dziedzic 等，2022）代码
• 自监督学习抵御模型提取的难度探讨（Dziedzic 等，2022）代码
• 自监督模型的数据集推断（Dziedzic 等，2022）代码
• 偷不了？那就对比着偷吧！针对图像编码器的对比式窃取攻击（Sha 等，2022）
• StolenEncoder：窃取预训练编码器（Liu 等，2022）
• 模型提取攻击再审视（Liang 等，2023）

其他

• 提示不应被视为秘密：系统性地衡量提示提取攻击的成功率（Zhang 等，2023）
• 失忆机器学习（Graves 等，2020）
• 迈向联邦学习中的鲁棒性和隐私保护：本地与中心化差分隐私的实验研究（Naseri 等，2020）
• 分析自然语言模型更新的信息泄露（Brockschmidt 等，2020）
• 通过机器学习估计 g-泄漏（Romanelli 等，2020）
• 嵌入模型中的信息泄露（Song 和 Raghunathan，2020）
• 捉迷藏隐私挑战（Jordan 等，2020）
• 合成数据——匿名化的“土拨鼠之日”（Stadler 等，2020）（代码）
• 鲁棒的成员身份编码：深度学习中的推理攻击与版权保护（Song 和 Shokri，2020）
• 图嵌入中隐私泄露的量化（Duddu 等，2020）
• 对比学习的隐私风险量化与缓解（He 和 Zhang，2021）
• 编码式机器遗忘（Aldaghri 等，2020）
• 不可遗忘的样本：使个人数据无法被利用（Huang 等，2021）
• 利用费希尔信息测量机器学习模型中的数据泄露（Hannun 等，2021）
• 针对迁移学习的教师模型指纹攻击（Chen 等，2021）
• 机器学习中信息泄露的界值估计（Del Grosso 等，2021）
• RoFL：用于安全联邦学习的可证明鲁棒性（Burkhalter 等，2021）
• 学习破解深度感知哈希：以 NeuralHash 为例（Struppek 等，2021）
• 隐私洋葱效应：记忆是相对的（Carlini 等，2022）
• 真相血清：通过投毒揭示机器学习模型的秘密（Tramer 等，2022）
• LCANets++：基于多层神经网络和侧向竞争的鲁棒音频分类（Dibbo 等，2023）

awesome-ml-privacy-attacks 快速上手指南

awesome-ml-privacy-attacks 并非一个单一的可安装软件包，而是一个精心整理的资源列表仓库。它汇集了关于机器学习隐私攻击（如成员推断、模型提取、数据重建等）的学术论文、开源代码实现以及测试工具。

本指南将帮助你如何利用该仓库快速找到所需的攻击代码或测试工具，并运行其中一个典型的示例。

环境准备

由于该仓库包含多种不同论文的代码实现，具体的系统要求取决于你选择运行的特定项目。但大多数基于 Python 的机器学习隐私攻击工具通常具备以下通用前置依赖：

• 操作系统: Linux (推荐 Ubuntu 20.04+), macOS, 或 Windows (WSL2 推荐)
• Python 版本: Python 3.8 - 3.10 (具体视目标项目而定)
• 核心依赖库:
  • PyTorch 或 TensorFlow (深度学习框架)
  • NumPy, Pandas, Scikit-learn
  • Git (用于克隆仓库)

建议: 在开始之前，请确保已安装 conda 或 venv 以创建独立的虚拟环境，避免依赖冲突。

安装步骤

由于这是一个资源索引库，你不需要“安装”它本身，而是需要克隆仓库并从中获取具体的工具代码。

1. 克隆仓库

使用 Git 克隆该资源列表到本地：

git clone https://github.com/HongshengHu/awesome-ml-privacy-attacks.git
cd awesome-ml-privacy-attacks

(国内用户若下载缓慢，可使用镜像加速：)

git clone https://gitee.com/mirror/awesome-ml-privacy-attacks.git
# 注意：如果 Gitee 没有同步镜像，建议使用 git clone --depth=1 <github_url> 减少下载量

2. 选择并安装具体工具

浏览仓库中的 README.md 或 Papers and Code 部分，找到你感兴趣的具体攻击工具（例如 PrivacyRaven 或某篇论文的实现代码）。

以 PrivacyRaven (一个综合性的隐私测试工具) 为例，安装步骤如下：

# 进入 PrivacyRaven 目录 (假设已从主列表链接跳转或单独克隆)
git clone https://github.com/trailofbits/PrivacyRaven.git
cd PrivacyRaven

# 创建并激活虚拟环境
python3 -m venv venv
source venv/bin/activate  # Windows 用户使用: venv\Scripts\activate

# 安装依赖
pip install -r requirements.txt
# 或者直接从 PyPI 安装
pip install privacyraven

(注：若需使用国内镜像源加速 pip 安装，请添加 -i https://pypi.tuna.tsinghua.edu.cn/simple 参数)

基本使用

以下以 PrivacyRaven 为例，展示如何对一个简单的机器学习模型发起成员推断攻击（Membership Inference Attack）。

1. 准备目标模型

首先，你需要有一个训练好的模型（例如使用 PyTorch 或 TensorFlow 训练的模型），并将其保存为文件，或者在代码中直接定义。

2. 运行攻击脚本

创建一个名为 attack_example.py 的文件，编写以下最小化示例代码：

import privacyraven
from privacyraven.core import MembershipInferenceAttack
from privacyraven.models import TargetModel

# 1. 定义或加载你的目标模型 (此处仅为伪代码示意，需替换为真实模型加载逻辑)
# target_model = load_my_pytorch_model()
class SimpleTarget(TargetModel):
    def predict(self, x):
        # 返回模型的预测概率
        return model(x)

target = SimpleTarget()

# 2. 初始化成员推断攻击
# shadow_model_type: 影子模型类型，'mlp' 表示多层感知机
attack = MembershipInferenceAttack(
    target_model=target,
    shadow_model_type='mlp',
    num_shadow_models=5,
    attack_model_type='nn'
)

# 3. 执行攻击
# data_loader: 你的测试数据加载器
# results 将包含攻击成功率及每个样本的推断结果
results = attack.run(data_loader=test_loader)

print(f"Attack Success Rate: {results.success_rate}")
print(results.detailed_results)

3. 查看结果

运行脚本：

python attack_example.py

控制台将输出攻击的成功率以及模型对特定数据点的记忆程度分析。你可以参考仓库中 Papers and Code 章节下的其他链接，获取针对特定攻击类型（如模型提取、数据重建）的更详细代码实现。