该论文研究了生成对抗网络（GAN）的隐私安全风险，特别是针对训练数据集的属性推断攻击。以往的研究大多关注判别模型（如分类器）的安全与隐私问题，而对生成模型（如GAN）的关注较少。本文首次提出针对GAN的训练数据集属性推断攻击方法。攻击者的目标是推断目标GAN训练数据集的宏观属性，即具有某个特定属性的样本在训练集中所占的比例。成功执行属性推断攻击后，攻击者能够获取目标GAN训练数据集的额外知识，从而直接侵犯目标模型所有者的知识产权。此外，该攻击还可用于公平性审计，检查目标GAN是否使用了带有偏见的数据集进行训练。同时，属性推断可以作为更高级攻击（如成员推断）的构建模块。论文提出了一套通用的攻击流程，可适用于两种攻击场景：全黑盒设置和部分黑盒设置。对于部分黑盒设置，作者引入了一种新颖的优化框架来提高攻击效能。在四个代表性GAN模型和五个属性推断任务上进行了大量实验，结果表明提出的攻击方法取得了很强的性能。此外，论文还展示了该攻击可用于增强针对GAN的成员推断攻击的性能。该研究揭示了GAN模型在隐私保护方面的新漏洞，对于理解生成模型的安全风险具有重要意义。读者主要为对机器学习隐私攻击感兴趣的研究人员。