Unlearning Evaluation through Subset Statistical Independence

该论文提出了一种基于希尔伯特 - 施密特独立性准则（HSIC）的无监督评估框架，通过检测模型输出在子集层面的统计独立性，在不依赖重训练或辅助分类器的情况下有效评估机器遗忘的效果。

要点

这篇论文提出了一种检测“机器遗忘”是否成功的新方法。为了让你轻松理解，我们可以把整个过程想象成**“清理教室”和“检查记忆”**的故事。

1. 背景：为什么要“机器遗忘”？

想象一个老师（AI 模型）教了一群学生（训练数据）。

• 场景：后来，有个学生因为某种原因（比如隐私泄露或数据错误）要求老师：“请彻底忘掉我教过你的所有关于我的知识，就像我从来没存在过一样。”
• 目标：老师需要执行“遗忘”操作，把关于这个学生的记忆从脑子里抹去。
• 难题：怎么证明老师真的忘掉了？
  • 旧方法 1（重新考试）：让老师把除了这个学生以外的所有学生重新教一遍，然后对比“新老师”和“老老师”的表现。
    • 缺点：这太费时间了，而且现实中我们往往没有原始的教学记录，没法重新教一遍。
  • 旧方法 2（测谎仪）：用各种手段去“套话”，看老师能不能猜出某个学生是不是以前教过的。
    • 缺点：这需要很多额外的工具和假设，而且如果只忘掉了几个学生，这种“套话”往往测不准。

2. 核心创意：把“遗忘”变成“分组游戏”

这篇论文的作者想了一个聪明的办法：不要一个个去测，而是把要遗忘的学生们分成两组，看看他们之间还有没有“默契”。

核心比喻：班级里的“暗号”

• 训练过的学生（In-training）：
  想象一群在同一个班级一起上课、一起做作业的学生。因为一起经历了很多（比如一起被老师点名、一起改错题），他们之间形成了一种**“集体默契”或“共同记忆”。即使你问他们两个互不相识的人，他们的回答风格、反应速度也会因为共同的训练背景而显得高度相关**。
• 没训练过的学生（Out-of-training）：
  想象一群从未进过这个教室的陌生人。他们之间没有任何共同的经历，所以他们的反应是完全独立、互不相关的。

作者的发现

作者发现，如果一个 AI 模型真的“忘掉”了一部分数据，那么这部分数据在模型眼里，应该变得像那群陌生人一样，彼此之间没有默契。如果模型没忘掉，它们之间依然保留着那种**“集体默契”**。

3. 具体做法：SDE（二分依赖检测）

作者发明了一个叫 SDE (Split-half Dependence Evaluation) 的测试，步骤如下：

1. 抓阄分组：把你要检查的那批“要遗忘的学生”（比如 100 个），随机分成两半（A 组和 B 组），每组 50 人。
2. 测默契（HSIC）：让 AI 模型分别看 A 组和 B 组，然后计算这两组人的反应之间有没有统计上的关联。
   • 这里用了一个数学工具叫 HSIC（希尔伯特 - 施密特独立性准则），你可以把它理解为一个**“默契度测量仪”**。
3. 判断结果：
   • 如果默契度很高：说明这两组人虽然被分开了，但脑子里还留着共同的“训练痕迹”。结论：遗忘失败！ 模型还记得他们。
   • 如果默契度很低（接近零）：说明这两组人互不认识，像陌生人一样。结论：遗忘成功！ 模型真的把他们忘了。

4. 为什么这个方法很厉害？

• 不需要“重考”：你不需要把老师重新教一遍（不需要重新训练模型），直接拿现有的老师来测就行。
• 不需要“间谍”：不需要训练额外的“测谎仪”模型（不需要辅助分类器）。
• 看整体不看个体：以前的方法喜欢一个个学生去测（“你记得张三吗？”），但这很难测准。新方法看的是这一整群人的整体氛围。就像你很难判断一个人是否记得某个特定的路人，但如果你发现一群人聚在一起时，彼此的眼神交流非常自然流畅，你就知道他们是一伙的；如果大家面面相觑、互不理睬，那他们肯定不熟。

5. 实验结果

作者做了很多实验，发现：

• 对于真的被忘掉的数据，这种“默契度”确实降到了和陌生人一样的水平。
• 对于没被忘掉的数据，或者遗忘算法没做好的情况，这种“默契度”依然很高。
• 甚至在现有的其他方法都测不出来的时候，这个方法也能清晰地分辨出模型到底有没有真的“失忆”。

总结

这就好比你要检查一个**“失忆症”**病人是否真的忘了某段往事。

• 旧方法：让他背当年的日记（重新训练），或者问他“你还记得那天穿什么颜色的衣服吗？”（成员推断攻击）。
• 新方法：把当年和他一起经历那件事的所有朋友叫来，分成两拨，让他们互相聊天。
  • 如果两拨人聊得热火朝天，眼神交流默契十足 $\rightarrow$ 没忘！（他们之间有共同的记忆纽带）。
  • 如果两拨人聊得尴尬，像两个陌生世界的人 $\rightarrow$ 真忘了！（记忆纽带断了）。

这篇论文就是给 AI 的“遗忘能力”设计了一套简单、直接且不需要额外成本的**“默契度体检”**。

技术摘要

这是一篇发表于 ICLR 2026 的会议论文，题为《通过子集统计独立性进行机器遗忘评估》（Unlearning Evaluation Through Subset Statistical Independence）。

以下是对该论文的详细技术总结：

1. 研究背景与问题 (Problem)

**机器遗忘（Machine Unlearning）**旨在从训练好的模型中移除特定训练数据（遗忘数据）的影响，以满足隐私法规（如“被遗忘权”）或消除后门攻击等需求。然而，如何有效评估遗忘是否成功仍是一个巨大的挑战：

• 现有方法的局限性：
  • 重训练基准（Retraining Baseline）：传统方法通常将遗忘后的模型与仅用剩余数据从头重训练的模型（Gold Standard）进行对比。但这在实际部署中不可行，因为重训练成本高昂且违背了开发独立可验证模型的初衷。
  • 成员推断攻击（MIA）：现有的评估常依赖 MIA 来检测特定样本是否在训练集中。但这通常需要访问内部训练统计信息（如损失分布）、辅助分类器（Shadow Models）或相同的超参数设置。在缺乏原始训练配置或标签的后验评估场景中，这些假设难以成立。
  • 样本级评估的不足：遗忘通常针对的是训练数据的一个小随机子集（5%-20%）。在遗忘后，单个样本的线索（如置信度、损失）变得统计上微弱，难以可靠地训练辅助分类器。

核心问题：如何在不需要重训练参考模型、不需要辅助分类器且不依赖原始训练配置的情况下，可靠地评估模型是否成功遗忘了一组数据？

2. 方法论 (Methodology)

作者提出了分裂子集依赖评估（Split-half Dependence Evaluation, SDE）框架。其核心思想是从“样本级”评估转向“子集级”评估，利用统计独立性作为判断依据。

2.1 核心动机

• 训练诱导的依赖性：当模型在数据集 $D_{tr}$ 上进行监督训练时，由于共享的梯度更新和共适应（co-adaptation），训练子集内的样本在模型内部表示（激活值）之间会产生统计依赖性。
• 遗忘后的独立性：如果数据从未参与训练（或已被成功遗忘），其样本在模型输出中不应表现出这种由训练引起的内部依赖性。

2.2 具体算法：SDE

1. 分裂子集（Split-half）：给定一个待评估的目标子集 $S$，将其随机分为两个大小相等的子集 $S_1$ 和 $S_2$。
2. 希尔伯特 - 施密特独立性准则（HSIC）：计算 $S_1$ 和 $S_2$ 在模型 $h$ 上的激活表示（通常使用倒数第二层 $h_p(x)$）之间的 HSIC 值。
   • 公式：$H(S, h) = \text{HSIC}(h(S_1), h(S_2))$
   • HSIC 是一种基于核函数的统计度量，用于量化两个随机变量间的依赖程度。值越接近 0 表示越独立，值越大表示依赖越强。
3. 分布估计：为了获得统计显著性，对 $S_2$ 进行多次随机重排（Shuffle），计算 200 次 HSIC 值以构建分布。
4. 评估标准：
   • 构建参考集：保留少量已知在训练集中的数据（$S_{IT}$）和已知不在训练集中的数据（$S_{OOT}$）。
   • 比较距离：计算目标子集 $S_{tar}$ 的 HSIC 分布与 $S_{IT}$ 和 $S_{OOT}$ 分布之间的Jensen-Shannon 散度（JSD）。
   • 判定：如果 $D(S_{tar}, S_{OOT}) < D(S_{tar}, S_{IT})$，则认为该子集已被成功遗忘（表现为统计独立）；反之则视为未遗忘。

2.3 理论分析

论文附录提供了理论证明：

• 在训练子集（In-training）：参数更新 $\Delta\theta$ 包含来自该子集的共享分量 $\Delta\theta_S$。即使 $S_1$ 和 $S_2$ 不相交，它们都继承了 $\Delta\theta_S$，导致它们的激活表示存在非零的协方差，从而产生正的 HSIC 值。
• 不在训练子集（Out-of-training）：未参与训练，不贡献共享分量，$S_1$ 和 $S_2$ 的激活在给定模型参数下是独立的，HSIC 值趋近于 0。

3. 主要贡献 (Key Contributions)

1. 无需重训练的评估框架：SDE 是唯一一种不需要重训练参考模型即可评估遗忘效果的统计方法，解决了实际部署中的痛点。
2. 无需辅助模型：不依赖 Shadow Models 或额外的分类器训练，也不需要访问原始训练标签或超参数。
3. 子集级评估：从统计角度处理整个子集的依赖关系，比单样本 MIA 更稳健，尤其适用于小比例遗忘场景。
4. 理论保证：通过线性化分析和 HSIC 性质，证明了训练诱导的依赖性与统计独立性之间的理论联系。

4. 实验结果 (Results)

作者在多个数据集（SVHN, CIFAR-10/100, Tiny-ImageNet）和模型架构（AllCNN, ResNet-18）上进行了广泛实验，并扩展到了扩散生成模型（Diffusion Models）。

• 区分能力：
  • 在重训练模型（Gold Standard）上，SDE 能显著区分“在训练”和“不在训练”的子集。对于 $|S| \ge 1000$ 的子集，F1 分数在 CIFAR-100 上接近 1.0。
  • 即使在仅训练 20% 的模型上，SDE 也能检测到显著的依赖性（F1 > 0.6）。
• 与现有指标对比：
  • 优于分布距离指标：相比最大均值差异（MMD）和 Wasserstein 距离，SDE 在小样本量下表现更稳健，F1 分数更高。
  • 揭示现有方法的缺陷：在评估主流遗忘算法（如 Unroll, SalUn, Random-label）时，传统指标（如准确率、MIA 攻击成功率 ASR）往往显示 Unroll 效果良好（ASR 低，接近重训练模型）。然而，SDE 发现 Unroll 的**子集遗忘率（OTR）**极低（<5%），意味着它实际上并未移除数据影响，只是改变了模型的其他统计特性。这证明了现有指标可能高估遗忘效果。
• 鲁棒性：
  • 对核带宽 $\sigma$ 的选择具有鲁棒性，$\sigma = \sqrt{dim}$ 是一个有效的启发式选择。
  • 适用于不同网络层（深层特征比浅层特征区分度更高）。
  • 适用于生成模型（扩散模型）。

5. 意义与影响 (Significance)

• 重新定义评估标准：论文指出当前基于 MIA 或重训练对比的评估范式存在严重缺陷，可能导致对遗忘算法有效性的误判。SDE 提供了一种基于统计独立性的新视角，更符合机器遗忘的本质目标。
• 实用性强：由于不需要重训练或额外训练，SDE 非常适合第三方审计机构在真实场景中验证模型是否符合“被遗忘权”。
• 理论深度：将机器遗忘的验证问题转化为统计依赖性问题，为后续研究提供了新的理论工具和分析框架。

总结：这篇论文提出了一种简单、独立且统计严谨的机器遗忘评估方法（SDE）。它通过检测模型输出表示中的子集统计依赖性，成功解决了在缺乏重训练基准和原始训练信息的情况下评估遗忘效果的难题，并揭示了现有评估指标可能存在的误导性，推动了机器遗忘领域向更实用、更可靠的评估方向发展。