Fine-Tuning Robot Policies While Maintaining User Privacy

本文提出了名为 PRoP 的模型无关框架，通过利用用户密钥对机器人策略权重进行数学变换，实现在保护用户偏好隐私的同时，使通用机器人能够安全地个性化适应不同用户的特定需求。

要点

这篇论文介绍了一种名为 PRoP 的新方法，旨在解决机器人“个性化”与“隐私保护”之间的矛盾。

为了让你轻松理解，我们可以把这篇论文的核心思想想象成**“给机器人配一把专属的魔法钥匙”**。

1. 背景：机器人太“聪明”了，但也太“透明”了

想象一下，未来家里有一个万能机器人，它学会了怎么做汉堡、怎么整理房间。这是它的**“通用技能”**（就像一本通用的食谱）。

但是，每个人的口味都不一样：

• 你喜欢汉堡里多加酸黄瓜。
• 你的邻居喜欢多加番茄酱。
• 你的室友喜欢把面包烤得焦一点。

为了让机器人适应你，你需要教它（微调）。但这里有个大麻烦：一旦机器人学会了你的口味，它就“记住”了。
如果别人（比如你的邻居）拿到了这个训练好的机器人，他只要让机器人做顿饭，就能立刻看出：“哦，原来这个机器人是专门为喜欢酸黄瓜的人设计的！”
这就泄露了你的隐私。 你的习惯、喜好，甚至你的生活方式，都通过这个机器人的行为暴露给了外人。

2. 核心问题：如何既让机器人懂你，又不让别人知道？

传统的做法是：

• 方法 A（数据加密）： 把训练数据锁起来。但这没用，因为机器人学会后，行为本身就会“说漏嘴”。
• 方法 B（完全加密）： 给整个机器人大脑加锁。但这太慢了，机器人反应会像蜗牛一样，没法实时工作。

3. 解决方案：PRoP（带钥匙的魔法变身）

作者提出了 PRoP（个性化且私密的机器人策略）。它的核心思想非常巧妙，我们可以用**“隐形眼镜”或“魔法滤镜”**来打比方：

想象场景：

机器人原本戴着一副**“普通眼镜”**（通用策略），看世界是标准的。

• 当你（用户）出现时： 你拿出你的**“专属钥匙”**（比如你的密码、指纹或声纹）。
• 魔法发生： 机器人戴上你的“专属隐形眼镜”。这副眼镜会瞬间扭曲它大脑中某些中间层的信号。
  • 在你眼里，机器人看到的“酸黄瓜”位置，经过扭曲后，变成了它实际放酸黄瓜的位置。
  • 机器人立刻变成了**“你的专属机器人”**，完美符合你的口味。

如果别人（没有钥匙）出现：

• 别人没有这把钥匙，机器人就戴不上那副隐形眼镜。
• 它只能看到**“普通眼镜”**下的世界。
• 结果：机器人会忽略别人的指令，或者表现得像什么都没学过一样，继续做标准的汉堡（通用策略）。
• 关键点： 即使别人拿着机器人，他也无法通过观察机器人的行为来推断出你的口味，因为机器人对他来说，表现得完全像个“陌生人”。

4. 技术上的“魔法”是如何实现的？

论文中提到，他们不需要重新训练整个机器人（那样太慢且改变结构），而是做了一件很数学化的事：

• 他们把用户的“钥匙”变成一串数字。
• 这串数字像是一个**“调节旋钮”**，直接插入到机器人神经网络的中间层。
• 这个旋钮会重新排列机器人内部的计算方式。
  • 有钥匙： 旋钮转到“用户模式”，计算结果变成你的偏好。
  • 没钥匙： 旋钮没动，计算结果就是默认模式。

这就像给同一个乐高积木模型，换了一个不同的**“内部齿轮组”**。外表看起来一模一样，但内部运转逻辑完全不同，只有拥有特定齿轮（钥匙）的人才能启动那个特定的运转模式。

5. 实验结果：真的有效吗？

作者做了很多测试，包括：

• 教机器人做饭（模仿学习）： 机器人能记住你的食谱，但别人试的时候，机器人会做回标准食谱。
• 机器人抓东西（强化学习）： 机器人能根据你的喜好抓不同位置的东西，但别人抓不到你的秘密。
• 图片分类： 甚至能用来识别图片，只有你有钥匙时，它才会按你的规则分类。

结论是：

• 更私密： 即使别人拿着机器人，也猜不出你的喜好（信息泄露极少）。
• 更灵活： 不需要给每个用户存一个单独的机器人模型，所有用户共享同一个“大脑”，只是通过钥匙切换模式。
• 更真实： 在真实的机器人手臂实验中，效果也很好。

总结

这篇论文就像是在说：“我们给机器人装了一把‘智能锁’。只有你拿着钥匙，它才听你的话，变成你的贴心小助手；别人没钥匙，它就是个只会干标准活的普通机器人。这样，你的喜好就永远只属于你，不会通过机器人的行为被泄露出去。”

这是一种让机器人既能**“千人千面”（个性化），又能“守口如瓶”**（隐私保护）的聪明办法。

技术摘要

论文技术总结：PRoP——保持用户隐私的机器人策略微调

1. 研究背景与问题定义 (Problem Statement)

背景：
随着通用机器人策略（General-purpose robot policies）的发展，机器人能够执行多种任务。然而，为了适应特定用户的个人需求（如烹饪偏好、操作习惯等），通常需要对预训练策略进行微调（Fine-tuning）。

核心挑战：
在个性化微调过程中，用户会泄露其偏好、习惯和风格等敏感数据。如果微调后的策略模型被其他代理（Agent）或用户获取，他们可以通过“ rollout"（推演/执行）该策略来推断原用户的私人偏好。现有的隐私保护方法（如差分隐私、同态加密）要么在复杂交互任务中效果不佳，要么计算开销过大，无法用于实时机器人系统。

科学问题：
如何开发一种系统，既能根据特定用户微调机器人策略，又能防止未授权的外部代理通过访问微调后的模型来推断用户的私人偏好？

2. 方法论：PRoP (Methodology)

作者提出了 PRoP (Personalized and Private Robot Policies)，一种与模型无关的框架，旨在实现个性化且隐私保护的机器人策略。

核心思想

利用用户密钥（User Key）（如生物特征、密码等）作为潜在变量，对预训练策略网络的**中间特征（Intermediate Features）**进行数学变换，而不是直接修改网络架构或输入层。

技术实现细节

1. 密钥编码器 (Key Encoders)：

   • 为每个用户分配一个唯一的密钥 $k \in K$。
   • 使用多层感知机（MLP）作为密钥编码器 $\Delta_i$，将密钥映射为潜在值 $\delta_i$。
   • 这些编码器对应于机器人策略网络 $R_\phi$ 的特定中间层。

2. 中间特征变换 (Intermediate Feature Transformation)：

   • 在策略网络的第 $i$ 层，利用密钥生成的潜在值对权重进行仿射变换（Affine Transformation）。
   • 具体公式为：$z_{i+1} = f (W_i \text{diag}(\delta_i) z_i + b_i)$。
   • 优势： 这种变换将个性化信息“纠缠”在网络权重中。如果没有正确的密钥，网络将退化为原始的通用策略 $\pi^*$；只有拥有正确密钥的用户，网络才会输出个性化的行为。

3. 训练目标与损失函数：

   • 个性化目标 ($J'$)： 当输入正确密钥 $k'$ 时，最小化用户特定任务的损失。
   • 通用目标 ($J^*$)： 当输入错误密钥或无密钥时，最大化通用策略的表现（即保持原始行为）。
   • 损失函数设计： 采用混合损失函数，既包含针对特定密钥的个性化损失，也包含针对其他密钥（包括随机采样和边界密钥）的通用损失，以确保模型在未经授权时不会泄露偏好，同时保持对正确密钥的高响应度。
   • 采样策略： 由于密钥空间巨大，无法遍历所有错误密钥。作者引入了重要性采样（Subset $K_1$，接近正确密钥的集合）和随机采样（Subset $K_2$），以在训练边界处形成高间隔（High-margin）分离，防止信息泄露。

4. 架构兼容性：

   • PRoP 不改变预训练模型 $R_\phi$ 的原始架构（输入/输出维度不变）。
   • 支持端到端训练，既可在预训练模型基础上微调，也可从零开始训练。

3. 主要贡献 (Key Contributions)

1. 基于密钥的策略个性化形式化： 提出了一种新的形式化方法，使机器人能够根据密钥条件化其行为，同时保留原始通用行为。该方法避免了因增加输入维度而重构预训练架构的难题。
2. PRoP 框架实现： 实现了具有隐私保证的个性化策略。该方法保留了原始网络架构，对未授权用户呈现默认行为，仅对授权用户呈现个性化行为。
3. 广泛的适用性与实证验证： 在模仿学习（Imitation Learning）、强化学习（Reinforcement Learning）、图像分类（Image Classification）以及真实世界的用户研究中验证了 PRoP。实验表明其在隐私保护和个性化性能上均优于现有的编码器基线方法（如 MLP, CVAE）。
4. 可扩展性： 证明了单一网络结构可以通过共享权重压缩多个用户的个性化策略，而无需为每个用户存储独立模型。

4. 实验结果 (Results)

模拟环境实验

• 任务类型： 包括 3-DoF 机械臂的模仿学习、PandaGym 中的强化学习（Reach 任务）以及 MNIST 图像分类。
• 性能指标：
  • 正确密钥下： PRoP 能准确执行个性化任务。
  • 错误密钥下： PRoP 能准确执行通用任务，且信息泄露率显著低于基线。特别是对于与正确密钥仅相差 1 位的“接近密钥”，PRoP 的泄露率极低，表明模型难以被攻击。
  • 对比基线： 在低维任务中 PRoP 与 MLP 表现相当，但在高维任务（如强化学习）中，PRoP 在个性化能力和隐私保护上显著优于 MLP 和 CVAE。

用户数量扩展性 (Scalability)

• 随着个性化用户数量（$|K^*|$）的增加，MLP 和 CVAE 的性能呈指数级下降。
• PRoP 在用户数量达到约 16 个之前保持高性能，之后呈线性下降，远优于基线方法。这表明 PRoP 能更有效地将多个用户的偏好压缩到共享网络中。

真实世界用户研究 (User Study)

• 场景： 12 名参与者在模拟厨房环境中，使用 UR-10 机械臂制作个性化三明治。
• 结果：
  • 个性化能力 (H1)： PRoP 在个性化准确率上优于基线（虽然统计显著性未在所有方法间完全确立，但趋势明显）。
  • 隐私保护 (H2)： PRoP 的信息泄露量显著低于 CVAE ($p < 0.05$)。当使用错误密钥时，PRoP 极少输出用户的真实偏好订单。

5. 意义与结论 (Significance & Conclusion)

• 隐私范式转变： 本文从“数据隐私”转向了“交互隐私”，即确保即使攻击者拥有微调后的模型，也无法推断出特定用户的偏好。
• 实用性强： PRoP 不需要昂贵的同态加密计算，也不依赖差分隐私带来的精度损失，且无需修改预训练模型的架构，非常适合实时机器人应用。
• 未来展望： 该方法为安全、个性化的类人机器人交互奠定了基础，使得机器人能够在保护用户隐私的前提下，灵活适应不同个体的需求。

总结： PRoP 通过巧妙的中间层权重变换机制，成功解决了机器人策略个性化与隐私保护之间的矛盾，提供了一种高效、可扩展且安全的解决方案。