Exposing the Illusion of Fairness: Auditing Vulnerabilities to Distributional Manipulation Attacks

本文揭示了恶意审计对象如何利用最优传输等数学策略，从原本不公平的数据分布中构造出既满足公平性指标又看似具有代表性的样本以制造“公平假象”，并提出了基于分布距离统计检验的防御机制来识别此类操纵攻击。

要点

这篇论文探讨了一个非常有趣且重要的问题：当 AI 系统被用来做重要决定（比如贷款、招聘）时，如果它本身存在“歧视”，被审查的公司会不会通过“作弊”来假装自己很公平？

我们可以把这篇论文想象成一场**“猫鼠游戏”，或者更具体地说，是一场“体检造假”与“防骗体检”**的较量。

1. 核心故事：一场精心策划的“体检”

想象一下，你开了一家工厂（被审查方/Auditee），你的机器生产出来的产品（AI 模型）有时候会故意歧视某类客户（比如只给男性发贷款，不给女性发）。

现在，政府监管机构（审计方/Auditor）来了，他们要检查你的机器是否公平。

• 规则是：你只需要给审计员看一小部分产品样本（数据集），审计员就根据这堆样本来判断你的机器是否公平。
• 你的动机：你不想因为歧视被罚款，所以你想给审计员看一堆“完美”的样本，让他们觉得你的机器很公平，但实际上你的机器还是老样子。

这篇论文就是揭穿这种“造假”手段的。 作者们不仅展示了坏人（不诚实的公司）可以怎么造假，还教监管机构（审计员）怎么识破这些骗局。

2. 坏人的“化妆术”：如何制造“公平”的假象？

论文发现，坏人不需要真的修改他们的机器（那太难了），他们只需要**“挑挑拣拣”或者“微调”**提交给审计员的那一小部分数据。

作者们提出了几种“化妆”方法，就像给数据做PS：

• 方法一：熵投影（Entropic Projection）——“微调化妆”

  • 比喻：想象你有一堆红苹果和青苹果混在一起。你想让审计员觉得红青比例是 1:1（公平）。你不需要把青苹果变红，你只需要稍微调整一下每个苹果被选中的概率。比如，让那些看起来像“好苹果”的稍微多被挑中一点，让“坏苹果”少被挑中一点。
  • 效果：看起来还是原来的苹果堆，但比例变了，审计员一算，发现“哇，真公平！”

• 方法二：最优传输（Optimal Transport）——“移花接木”

  • 比喻：这更像是在玩**“换装游戏”**。你手里有一堆数据点（人），你把那些“倒霉”的人（被拒绝的弱势群体）的特征，悄悄挪到“幸运”的人身上，或者把两个数据点的位置稍微挪动一下，让它们在数学距离上看起来更“公平”。
  • 高级版：甚至可以把一个人的特征完全替换成另一个人的特征，只要这种替换在数学上看起来是“自然”的，不像是硬凑的。

• 方法三：替换法（Replace）——“偷梁换柱”

  • 比喻：最简单粗暴的。直接把那些“被拒绝的女性”的标签，偷偷改成“被拒绝的男性”，或者反过来。就像在考试作弊时，把不及格的成绩单偷偷换成及格的。

坏人的目标：用最小的改动（让数据看起来和原来差不多，骗过监管的“相似度检测”），达到最大的“公平”假象。

3. 监管员的“照妖镜”：如何识破伪装？

既然坏人会化妆，监管机构该怎么办？论文提出了一套**“防骗体检”**方案。

监管机构手里有全部的数据（或者可以要求看更多数据），他们知道真实的“底牌”是什么。他们可以使用各种统计学工具来对比“提交的小样本”和“真实的大数据”：

• 照妖镜 1：距离测量（Wasserstein 距离 / KL 散度）
  • 比喻：就像用尺子量两个苹果堆的形状和分布。如果坏人只是挑了几个好苹果，那么这堆苹果的分布形状肯定和原来的大堆不一样。监管机构会计算：“这堆样本和原来的大堆，长得像不像？”如果距离太远，直接判定作弊。
• 照妖镜 2：统计测试（KS 测试、MMD 等）
  • 比喻：就像警察问：“这堆苹果里，红苹果的比例真的符合随机抽样的规律吗？”如果坏人为了凑比例，强行把红苹果塞进去，统计测试就会发现：“不对，这里的红苹果多得不自然！”

4. 实验结果：谁赢了？

作者们在很多真实数据集（比如成人收入、银行欺诈等）上做了实验：

• 坏人的胜利：在某些情况下，如果样本量很小（比如只给审计员看 10% 的数据），坏人确实能成功“洗白”。他们能把原本很不公平的模型（比如歧视率 30%），伪装成看起来非常公平（比如 80% 公平），而且监管机构用常规手段根本发现不了。
• 监管员的反击：
  1. 样本量是关键：如果监管机构要求看更多的数据（比如 20% 甚至更多），坏人就很难在保持“伪装”的同时还能把比例调得那么完美。样本越大，露馅的概率越高。
  2. 组合拳：如果监管机构同时使用多种检测工具（既看距离，又看分布形状，又看相关性），坏人就很难同时骗过所有关卡。
  3. 最狡猾的坏人：研究发现，有一种叫 MW (Matching with Wasserstein) 的方法，它最擅长“移花接木”，能在保持数据分布看起来非常自然的同时，把公平性指标提得很高。这是目前最难防住的对手。

5. 给普通人的启示（总结）

这篇论文告诉我们几个重要的道理：

1. 不要轻信“样本”：如果一个公司只给你看一部分数据来证明他们很公平，这很可能是精心挑选的“特供版”。就像去餐厅只让你看摆盘最漂亮的菜，而没让你看后厨。
2. 样本量越大，越难造假：想要彻底查清 AI 是否公平，必须要求看足够大的数据样本。样本越小，坏人越容易“钻空子”。
3. 技术是双刃剑：用来消除歧视的数学工具（比如最优传输），也可以被坏人用来制造“公平”的假象。
4. 未来的方向：监管机构不能只依赖被审查方提供的数据，必须拥有独立获取全量数据的能力，或者使用更复杂的“组合检测”手段，才能戳穿这些高科技的“公平幻觉”。

一句话总结：
这篇论文就像给 AI 审计界敲响了警钟——“别被表面的公平数据骗了，坏人会 PS 数据来造假；要想不被骗，必须看更多的数据，并用更聪明的数学工具去验明正身。”

技术摘要

论文技术总结：揭示公平性幻觉——审计分布操纵攻击的漏洞

论文标题：Exposing the Illusion of Fairness: Auditing Vulnerabilities to Distributional Manipulation Attacks
作者：Valentin Lafargue 等 (IMT Toulouse, INRIA, ANITI, IRIT, IMPA)
核心领域：机器学习公平性审计、对抗性攻击、最优传输、熵投影、统计假设检验

1. 研究背景与问题定义

随着 AI 系统在高风险领域（如欧盟《AI 法案》界定的领域）的部署，对算法进行公平性审计变得至关重要。目前的审计流程通常涉及三方：

1. 被审计方 (Auditee)：拥有完整数据集和模型，向审计方提供数据子集。
2. 审计方 (Auditor)：基于被审计方提供的子集计算公平性指标（如差异影响比 Disparate Impact, DI），判断模型是否合规。
3. 监管机构 (Supervisory Authority)：拥有完整数据访问权，负责验证被审计方提供的子集是否具有代表性。

核心问题：
恶意被审计方可能通过精心挑选或修改数据子集，构造出一个在统计上看似具有代表性、且满足公平性约束（如 DI $\ge$ 0.8），但实际上掩盖了原始数据分布中存在的歧视问题的样本。这种现象被称为“公平性清洗”（Fair-washing）。
本文旨在形式化这一攻击过程，量化最小分布偏移以欺骗审计，并评估现有的基于分布距离的统计检验方法在检测此类攻击时的有效性。

2. 方法论

2.1 攻击建模：分布投影优化

作者将恶意被审计方的目标建模为一个约束分布投影问题。被审计方希望在满足公平性约束（$DI(f, P) \ge t$）的前提下，寻找一个与原始经验分布 $Q_n$ 距离最近的分布 $P$。
$$\arg\min_{P \in \mathcal{P}(E), DI(f,P) \ge t} d(P, Q_n)$$
其中 $d$ 是分布距离度量。作者研究了两种主要距离度量及其对应的投影策略：

1. KL 散度 (Kullback-Leibler Divergence)：对应熵投影 (Entropic Projection)。
2. Wasserstein 距离 (Monge-Kantorovich Distance)：对应最优传输 (Optimal Transport, OT)。

2.2 具体的操纵策略 (Fair-washing Methods)

作者提出了四种主要的操纵方法，分为两类：

A. 基于熵投影的方法 (Entropic Projections)

• 原理：利用拉格朗日乘子法，在最小化 KL 散度的同时调整样本权重，使得新分布的均值满足公平性约束。
• 实现：
  • Entropic_balanced：平衡地修改两类群体的权重。
  • Entropic_proportional：按群体大小比例调整权重。
• 特点：仅改变原始样本的权重（重采样），不生成新个体。

B. 基于最优传输的方法 (Optimal Transport)

• 原理：通过最小化 Wasserstein 距离，将原始分布的质量“运输”到满足约束的新分布。
• 实现：
  • Grad_balanced / Grad_proportional：基于梯度的 OT 方法，直接修改特征 $X$ 以改变预测结果 $\hat{Y}$。
  • 1D-transport 变体：约束修改后的特征值必须落在原始数据集的离散取值范围内，防止生成不合理的“越界”个体（如年龄为负数）。
  • Replace(S, $\hat{Y}$)：仅替换敏感属性 $S$ 和预测结果 $\hat{Y}$，不改变特征 $X$。
  • MW(X, S, $\hat{Y}$)：基于匹配的算法，将个体映射到数据集中另一个具有不同 $(S, \hat{Y})$ 组合的个体，以最小化分布偏移。

2.3 防御机制：基于分布距离的统计检验

为了检测上述攻击，监管机构可以使用统计检验来验证子集 $D_n$ 是否来自原始分布 $Q_n$。

• 检验方法：Kolmogorov-Smirnov (KS) 检验、Wasserstein 距离检验、最大均值差异 (MMD) 检验、KL 散度检验。
• 策略：监管机构计算子集与全量数据（或参考分布）之间的距离，若距离超过置信区间，则拒绝原假设（即认为样本不具代表性）。

3. 实验设置与数据集

• 数据集：使用了 7 个基准数据集，包括 Adult Census Income, Folktables (Income, Employment, Mobility, Travel, Public Coverage), Bank Account Fraud (BAF) 以及 CelebA (用于图像扩展实验)。
• 模型：使用多层感知机 (MLP) 生成预测结果 $\hat{Y}$。
• 评估指标：
  • 公平性提升：差异影响比 (DI) 的提升幅度。
  • 分布偏移成本：KL 散度和 Wasserstein 距离的数值。
  • 检测率：统计检验拒绝原假设（即检测到欺诈）的比例。

4. 关键结果

4.1 操纵策略的有效性

• MW(X, S, $\hat{Y}$) 方法表现最佳：该基于匹配的方法在提升 DI 的同时，保持了最小的分布偏移（Wasserstein 距离和 KL 散度均较低）。它能够在多个数据集上实现较高的 DI 提升（例如在 Adult 数据集上从 0.30 提升至 0.54），且难以被检测。
• 熵投影方法：在某些数据集（如 INC, TRA, BAF）上也能成功欺骗审计，特别是当原始 DI 接近目标值或正类样本极少时。
• 基于梯度的方法 (Grad)：由于直接修改特征 $X$，往往导致较大的分布偏移，容易被基于 KL 散度的统计检验检测到。

4.2 检测能力的局限性

• 样本大小的影响：这是最关键的因素。当审计样本量较小（如 10%）时，恶意方更容易构造出既满足公平性约束又无法被统计检验检测出的样本。随着样本量增加（如 20%），检测成功率显著提高，因为大样本使得分布偏移更难隐藏。
• 原始分布的影响：如果原始数据的 DI 已经接近合规阈值，或者正类样本极少（如 BAF 数据集），所需的修改量极小，因此极难被检测。
• 统计检验的盲区：单一的统计检验（如仅使用 KS 检验）容易被绕过。然而，组合多种检验（KL + Wasserstein + MMD + KS）可以显著提高检测鲁棒性。

4.3 非表格数据扩展 (CelebA)

在图像数据集上的实验表明，直接在像素空间进行统计检验效果有限。使用预训练 CNN 提取的潜在特征空间 (Latent Space) 进行检验能更有效地检测公平性清洗攻击。但攻击者若知道审计方使用的特征提取器，仍可能针对性地优化攻击。

5. 主要贡献与意义

1. 理论形式化：首次将公平性审计中的“样本操纵”问题形式化为受约束的分布投影问题，并提供了基于熵投影和最优传输的数学解。
2. 攻击策略库：系统性地提出并评估了多种“公平性清洗”策略，揭示了现有审计流程中存在的严重漏洞。
3. 检测基准：通过大规模实验，量化了不同统计检验方法在检测分布操纵时的能力边界，证明了单一检验的不足和组合检验的必要性。
4. 政策建议：
   • 样本量是关键：监管机构应强制要求足够大的审计样本量，以压缩不可检测的分布偏移空间。
   • 审计方控制权：审计方不应完全依赖被审计方提供的子集，应保留访问完整数据集或随机抽取额外样本的权力。
   • 多维度验证：应结合多种分布距离度量进行综合验证，防止攻击者针对单一指标进行优化。

6. 结论

本文揭示了当前基于子集的公平性审计流程存在根本性脆弱性：恶意行为者可以通过最小化分布偏移的数学优化，构造出“看起来公平”且“统计上不可区分”的虚假样本。这被称为“公平性幻觉”。

研究结果表明，虽然通过组合统计检验和提高样本量可以增强防御能力，但完全杜绝此类攻击极具挑战。未来的审计框架必须从“信任被审计方提供的样本”转向“主动验证分布代表性”，并将分布鲁棒性作为合规评估的核心组成部分。

代码开源：https://github.com/ValentinLafargue/Inspection