近日,付希明副教授课题组的博士后郭浩与博士生刘钊乾作为共同第一作者的学术论文《SEAF: Secure Evaluation on Activation Functions with Dynamic Precision for Secure Two-Party Inference》被国际顶级学术会议 USENIX Security Symposium(USENIX Security 2025)接收。该论文的合作作者包括北京航空航天大学杭州创新研究院的刘竹森,付希明副教授为通讯作者。
USENIX Security 2025 将于 2025 年 8 月 13 日至 15 日在美国西雅图市召开。作为国际信息安全领域的旗舰会议,USENIX Security 自 1990年创办以来已历经三十余年发展,与 IEEE S&P、ACM CCS、NDSS并列为信息安全领域国际四大顶级学术会议,同时被中国计算机学会(CCF)列为 A 类推荐会议。
论文简介:安全推理技术能够在不暴露用户提示词的前提下完成推理任务,同时保护模型持有方的参数不被泄露。这一安全特性使其在对安全性要求极高的场景中具有广泛的应用潜力,例如商业、政务和金融领域。它不仅有效保障了用户隐私,也维护了模型持有方的核心机密。近年来的研究成果,如SirNN(S&P’21)、Iron(NeurIPS’22)和Bolt(S&P’24),通过结合同态加密和安全多方计算技术,构建了安全推理框架。这些方法在处理大语言模型中大量非线性操作时仍面临显著的效率瓶颈,限制了安全推理技术的进一步应用和推广。
本文针对大语言模型安全推理中非线性计算的瓶颈问题(约占总推理开销的 45%),提出了一种通用非线性函数安全计算框架SEAF如图1所示。本文主要提出了两个优化。首先,我们设计了一种基于截断相等操作的区间判断协议并结合非线性激活函数的特性,将其归纳为四类。在此基础上实现了性能的显著提升,相较于现有SOTA工作最高提升1.97 倍。此外,本文引入动态参数优化方法对非线性函数进行评估。该方法能够根据误差需求,利用优化求解器生成当前算法的最优参数,从而在确保精度的前提下实现最小计算开销。有效缓解了以往非线性函数评估中精度与计算开销之间的矛盾,为非线性计算的高效、安全推理提供了新的解决思路。
本文基于BERT-base大语言模型开展端到端安全推理实验,实验结果表明SEAF框架下的非线性激活函数计算开销仅为Iron的十分之一,是SOTA工作Bolt的37%,具体数据如图2所示。在端到端推理的全部开销中,相较于 Bolt,我们的方法减少了 20% 以上的通信。改进后的 GELU 仅占总运行时间的 9.8%。所以非线性激活函数不再是SEAF 框架的主要开销。文章详细评估了非线性激活函数的性能,实验结果如表1所示:针对大语言模型中最常用的 GELU 激活函数,SEAF 框架在将精度提升 4.6 倍的同时,通信开销减少了 64%,展现了其在高效性和准确性上的显著优势。(审核 付希明)
图1 SEAF框架
