大型语言模型（LLMs）在海量网路资料上预训练，常不经意地记忆并重现，如姓名、电话、地址、银行帐号、医疗纪录等。这带来严重的，特别是符合欧盟 GDPR 的「被遗忘权」（Right to be Forgotten），要求资料主体能请求删除其个人资料。论文动机是开发的 PII 遗忘解决方案，同时建立专门基准来系统评估遗忘效果、稳健性与效用保留，推动符合法规的 AI 部署。

等参数高效微调（PEFT）技术，快速适应特定领域（如新闻分类、医学问答、对话生成），只需调整少量低秩分解矩阵（rank-decomposition matrices），大幅降低计算成本（例如 Llama-7B 全参数微调需 60GB GPU 记忆体，而 LoRA/qLoRA 可降至 6–16GB）。（10 种现有 + 5 种改进版），涵盖不同内部状态（如 loss、梯度、token 机率、嵌入等）

大型语言模型（LLMs）在训练过程中容易**记忆（memorize）**训练资料，导致隐私洩露风险，例如意外重现敏感个人资讯、企业内部文件、版权内容或医疗记录。这不仅涉及隐私法规合规（如 GDPR）、着作权问题，还可能损害模型部署者的信誉与信任。：开发专为 LLMs 设计的上下文感知 MIA，深入理解并量化 token-level 的记忆动态，进而评估真实隐私风险，并为未来防禦（如 unlearn

大型语言模型（LLM）在常使用私有、敏感或专有资料（如医疗、法律、程式码或 PII），这带来严重的隐私风险。旨在判断特定资料样本是否曾参与目标模型的训练。虽然预训练阶段的 MIAs 因资料仅单次曝光且规模巨大而效果有限，但微调阶段的资料、模型参数更新集中，以及下游任务的特定性，使得细调后的 LLM 极易遭受有效攻击。论文首次对细调 LLM 的 MIA 脆弱性进行，使用 Pythia 系列模型在 P

在六个 LLM（包含传统 LLM 如 Qwen2.5 系列、DeepSeek-V3 及推理 LLM 如 DeepSeek-R1、Qwen3）及四个基准资料集（MATH500、AIME2024/2025、AICrypto）上，LLM 能记住大量互动上下文，并倾向于储存个人识别资讯 (PII)，如姓名、年龄、电话、医疗历史等。先前研究（如 Zhan et al., 2025b）显示，LLM 可被操纵主

在六个 LLM（包含传统 LLM 如 Qwen2.5 系列、DeepSeek-V3 及推理 LLM 如 DeepSeek-R1、Qwen3）及四个基准资料集（MATH500、AIME2024/2025、AICrypto）上，LLM 能记住大量互动上下文，并倾向于储存个人识别资讯 (PII)，如姓名、年龄、电话、医疗历史等。先前研究（如 Zhan et al., 2025b）显示，LLM 可被操纵主

在六个 LLM（包含传统 LLM 如 Qwen2.5 系列、DeepSeek-V3 及推理 LLM 如 DeepSeek-R1、Qwen3）及四个基准资料集（MATH500、AIME2024/2025、AICrypto）上，LLM 能记住大量互动上下文，并倾向于储存个人识别资讯 (PII)，如姓名、年龄、电话、医疗历史等。先前研究（如 Zhan et al., 2025b）显示，LLM 可被操纵主

系统探究 DP 在不同微调方法（全微调 FFT、Prefix-tuning、LoRA、P-tuning）与不同隐私预算下的影响，使用真实攻击（prompt-based canary extraction + SPV-MIA）评估。先前研究多侷限于单一微调方法（如仅全参数微调或 LoRA）、单一隐私预算（ε 值），或仅用单一指标（如 exposure），缺乏系统性跨方法比较，尤其在参数高效微调（PE

每次查询后验证新暴露 PII（Google 搜寻 + LLM 辅助），将真实 in-training PII 加入池中、移除非训练 PII，并位置加权更新权重（prompt 后段例子影响更大）。长 few-shot 在 in-training 例子下更有效，反之短 few-shot 较佳（Finding I）。的直接查询方法，利用 LLMs 的「记忆化（memorization）」与「关联（ass

现有文献多聚焦单一面向（攻击或防禦），缺乏系统性整合。：提出实务建议，包括模型水印（Watermarking）、对抗防禦（Adversarial Defense）、可解释 AI 方法（SHAP、LIME 等）、隐私优先设计与联邦学习部署，为安全 LLM 系统提供可操作路线图。：详细分类 LLM/GenAI 在防禦端的应用（如即时威胁侦测、钓鱼防禦、安全程式码生成、零日漏洞侦测、DevSecOps