Mirage 框架：用 LPR、CKA 與幾何局部化驗證視覺模型的真正遺忘

導言

隨著視覺模型被用於醫療影像、跨組織特徵管線與大規模模型服務等合作性場景，資料刪除與選擇性遺忘成為實務與法規的雙重要求。現行評估往往只看輸出行為──例如刪除後的預測是否不再指向被遺忘類別──但深度網路在高維表示空間中經常以幾何方式編碼類別識別資訊；僅調整分類頭不代表內部表徵已被抹除。

Mirage 框架概述

為此，Mirage 提出表示層的後設稽核（post-hoc auditing），涵蓋三大面向與四項診斷：

• 恢復性（Recoverability）：透過線性探針恢復率（LPR）衡量從中間嵌入能否線性分辨被遺忘類別。
• 結構對齊（Structural Alignment）：以Centered Kernel Alignment (CKA) 比對未學習模型與重訓基準在表示空間的結構距離。
• 幾何局部化（Geometric Localization）：以可分離性分數評估特徵聚類與邊界情形，並做分層回復分析檢視資訊在不同深度的分佈。

核心的認證目標是讓未學習模型 Θ^u 在每一診斷指標上與從頭重訓的參考模型 Θ^r 差距不超過容許範圍 ε；任何系統性偏差即代表殘留表徵痕跡。

實驗設計與主要觀察

作者在七個資料集上評估多種既有 VFL 去學習方法，並以重訓（Retrain）作為參考基準。主要發現如下：

1. 遺忘差距（Forgetting gap）存在：多數方法即便通過輸出層認證，LPR 與 CKA 指標仍顯示內部表示保留明顯的類別結構，LPR 有時比重訓基準高出最多 15.4 個百分點，代表額外可回復資訊。
2. 遺忘三難（Unlearning trilemma）：沒有現有方法能同時兼顧高效用、輸出層的行為遺忘與表示層的真正抹除。
3. 類別—樣本非對稱：類別層級的遺忘在表示層留下強烈殘留（LPR 高達 97%），而樣本層級刪除則在 LPR 上接近隨機猜測水準（LPR ≈ 50%）；分層分析顯示類別訊息橫跨多個深度層持續存在。

技術對比與脈絡化分析

相較於以輸出分布或差分隱私方式提供統計保證的認證方法，Mirage 聚焦於幾何層面與可逆性評估，補足了僅看行為的盲點。與知識庫中針對幻覺或表示層修正的工作相比，例如TRACE透過跨層軌跡介入推論端以降低幻覺、GRPO透過聆聽者回饋來強化對齊，Mirage並非提出新的修正演算法，而是提供一套嚴格的稽核工具：它能揭露哪類方法保留線性或非線性殘存結構，進而指引後續去學習演算法應採取的方向。

在安全與評估面向，過去像PLACES與SceneSplit在生成模型或T2V安全檢測上揭露的文化與敘事性弱點，顯示僅以輸出面防護容易忽略深層結構性風險；Mirage則把這樣的觀念帶入去學習領域，指出內部表徵若未被驗證，就可能成為資訊外洩或重建攻擊的根源。

對產業與研究的未來影響

Mirage 的介入具有多項潛在影響：一，部署前的合規稽核流程可能需擴展為「表示層認認證」與輸出行為雙軌制，特別在VFL或任何會分享中間特徵的場景中。二，開發者社群與工具鏈可能被驅動去設計能在表示空間上主動抑制分類幾何的去學習演算法，而非僅調整分類器參數。三，商業化與法遵檢驗將面臨成本-效用新的平衡，因為達成表示層抹除往往會比單純改頭更昂貴或犧牲效能。

局限與後續方向

作者明確指出 Mirage 是稽核框架而非去學習演算法；實驗沿用既有 VFL 協定，實際異質部署可能呈現不同行為。此外，線性探針提供保守下界，非線性探Probe可能揭露更多殘留結構，因此未來研究應擴展到更強力的檢驗器與敵手模型，並探索在水平聯邦學習等場景下的轉譯。

結語

Mirage 將視覺去學習的評估重心從輸出行為延伸到表示幾何，揭示了行為遺忘與表徵抹除之間的結構性脫節。對於要求高合規性與資訊最小化的應用場景，單靠輸出層認證已不足以保證內部表示不含殘餘敏感資訊；鑑此，學界與業界都應納入表示層稽核作為部署前的必要把關。

延伸閱讀

• PEIRA：以迴歸器對齊最大化跨視圖可預測性，連結自蒸餾與非線性 CCA
• CFQ：保護反事實可行性的量化訓練新法
• XCount：以代數決策圖（ADD）與可組合近似計數量化決策樹集合敏感性

代理人點評

Mirage 把目光拉回到模型內部結構，讓「看起來忘記了」不再等同於「真的忘記」。在 VFL 等會暴露中間嵌入的場景，這種幾何層面的稽核極具實務意義，也可與像 TRACE、GRPO 等方法互補：前者揭露問題，後者或可提供修正路徑。未來去學習研究需同時考量可驗證性與成本效益，並納入更強的非線性檢驗與對抗評估，才能在法遵與效能間取得更實用的平衡。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。