随着生成模型的迅速普及，对训练数据隐私的关注也日益增加。这些模型本质上有可能记住并重新生成其训练语料库中的敏感模式[1]、[2]，从而引发诸如成员推断[3]和数据重构[4]等攻击。为了减轻这些风险，差分隐私（DP）[5]已成为首选标准。正如最近关于隐私保护学习系统的研究[6]所强调的，与同态加密等加密方法相比，DP在现实部署约束下具有明显的优势，后者在计算过程中保护数据机密性，但无法防止最终模型泄露敏感的训练样本。此外，与通常在高维环境中无法抵御链接攻击的启发式匿名化技术相比，DP提供了对任意背景知识都具有鲁棒性的可证明保证。实际上，差分隐私随机梯度下降（DP-SGD）[7]已成为事实上的标准：它通过梯度裁剪和校准的噪声注入在训练过程中实施DP。至关重要的是，由于DP的后处理特性，使用DP-SGD训练的模型无论用于何种下游任务（包括生成任务）都继承了正式的隐私保证。然而，这些保证本质上是基于最坏情况的，并且与接口无关，因此留下了一个开放性问题：通过实际部署接口实际上可以观察到哪些隐私信息。这激发了我们不仅研究DP机制本身，还研究其最终部署环境的必要性。

同时，现代生成模型的部署范式在理论保证和实际隐私审计之间造成了关键性的脱节。商业系统主要以黑盒应用程序编程接口（API）的形式提供，审计人员或攻击者只能观察到模型输出——参数和训练数据，而控制生成的潜在随机性则保持隐藏。虽然机制层面的审计[8]、[9]能够正确验证训练算法的最坏情况隐私预算，但它本质上假设了强大的对手模型（例如白盒或梯度访问）。这就提出了一个问题：当对手被限制为黑盒查询时，实际的隐私保护程度是多少？从模型开发者的角度来看，核心挑战不仅在于验证机制本身，还在于量化部署接口所提供的额外保护。

这个问题针对的是可观察的隐私——一个衡量系统输出在特定操作约束（这里是具有隐藏潜在变量的黑盒接口）下的可区分性的指标。这一概念与近期文献中日益关注的“实证隐私”[10]、“实际泄露”[12]、“实用泄露”[13]相一致，但我们特别强调了部署接口所施加的结构约束。与最坏情况下的DP预算不同，后者限制了在任意辅助信息下的泄露程度，而可观察的隐私则捕捉了受限攻击者能够访问的实际泄露程度。最近的实证证据[13]揭示了一个显著现象：即使使用宽松的DP预算（例如$$=4），对DP训练的生成器的成员推断攻击（MIAs）的表现也接近随机猜测（图1）。这种差异表明，现实世界中的隐私保护往往比最坏情况计算结果所暗示的要强。因此，我们的研究问题是：我们能否从理论上解释并定量审计这种“隐私差距”？这种增强的隐私保护可能源于生成模型的内在结构特性，特别是由DP-SGD诱导的函数级别稳定性以及稀释可区分性的高维潜在随机性。尽管风格化的分析[14]已经暗示了这种效应，但将训练动态与接口特定的隐私行为联系起来的统一框架仍然缺失。

我们通过基于测试的$$-DP视角[20]来弥合这一差距。我们的目标不是放宽形式的DP保证，而是量化当访问被限制为固定黑盒接口时审计者可实现的测试能力降低的程度。从机制层面到接口层面的这种转变对于理解实际部署系统中的隐私保护至关重要。我们的框架是事后操作的：它直接从训练轨迹计算隐私保护范围，证明了黑盒攻击者原则上可能观察到的内容。有两个结构效应推动了这种降低：

• •
  函数级别稳定性：DP-SGD在函数空间中强制训练在相邻数据集上的生成器之间的接近性，即使它们的参数有所不同。我们通过损失路径核（LPK）[21]、[22]来形式化这一点，该核编码了初始化之后的优化几何结构。
• •
  高维潜在随机性：生成过程中的高维随机输入在输出中产生了近似高斯行为，进一步降低了黑盒查询下的可区分性。

结合这些效应，我们得到了DP训练的生成模型中黑盒可区分性的定量描述，如图2所示。将基于LPK的稳定性与高斯化结合起来，得到了考虑维度的高斯DP保护范围，这些范围限定了在固定接口下的有效可区分性。这些范围预测黑盒可区分性随着数据集大小和潜在维度的增加而降低，并且在多次发布中的增长仅呈亚线性。该框架完全是在事后操作的——它不修改训练或预算——但它为审计DP训练的生成器的隐私提供了一个保守且可解释的工具。重要的是，我们的分析补充了而不是取代了标准的隐私计算：它量化了在接口处可观察到的内容，而不是机制的形式DP预算。

本节阐明了我们分析的基础问题设置。我们描述了暴露给黑盒攻击者的发布接口，指定了相邻数据集下的生成机制，并概述了我们在分析中使用的假设和RKHS几何结构。我们的目标是描述在不改变底层差分隐私训练程序的情况下，发布输出的可观察不可区分性。