该论文提出了一种针对已部署安全分类器的在线分布漂移监测系统。系统利用校准的序贯统计量（如加权共形预测或逻辑密度比估计）实时检测分类器的输入分布是否发生变化。一旦检测到漂移，系统会通过共形弃权层自动调整决策阈值，以恢复预设的目标错误率（ε=0.1）。作者通过预注册的析因实验评估了系统性能，覆盖4种分类器、5种漂移条件、20个随机种子和2种窗口大小（共计800个实验单元）。结果显示，系统实现了86.6%（693/800，95%置信区间[84.1%,88.8%]）的有效检测率，平均检测延迟为39.5步。检测能力在三种真实漂移场景中得到验证：合成数据引入的偏移（86.6%）、真实世界的时间越狱攻击（85%，17/20）以及GCG对抗攻击。在修正阶段，加权共形预测在DeBERTa分类器上恢复了最多39个百分点的覆盖率损失（有效样本量ESS=46/300），但在其他分类器上完全失效（ESS接近300）。逻辑密度比估计在高维嵌入空间中实现了完美的源/目标分离，导致所有重要性权重被截断至下限。DeBERTa展现出了从有效修正（释义变形，ESS=46）到几乎完全失效（对抗后缀，ESS=206）的梯度变化。将特征空间PCA降维至32维后，崩溃问题得到缓解，为Llama Guard恢复了33个百分点，为ShieldGemma恢复了21个百分点覆盖率。方差分解显示，分类器（η²=0.243）、漂移类型（η²=0.237）及其交互项（η²=0.185）对检测延迟的变异均有显著贡献（所有p<0.001），表明需要对每个分类器建立单独的监测配置。

本文针对大型语言模型（LLM）在参数高效微调过程中可能记忆个体训练样本的问题，提出了一种创新性的经验性隐私审计（EPA）方法。研究背景：微调后的LLM可能泄露隐私，现有审计方法依赖人工设计的“金丝雀”样本，但难以模拟真实数据分布且可能引入隐私风险。核心方法：作者提出利用高温采样（T≥0.8）从LLM本身生成合成金丝雀，这些金丝雀与隐私敏感训练数据分布相似，且具有高影响力（outlier特性），从而在成员推断或重建攻击中实现高识别性，显著提升审计效能。由于合成金丝雀本身不含真实隐私，可重复插入且易于检查，不会危及原始数据隐私。此外，针对微调模型生成合成数据这一重要应用场景，本文引入了一种强大的合成数据审计方法：在合成数据上微调辅助模型，然后审计该辅助模型对原始金丝雀的泄露程度，从而量化合成数据的隐私风险。最后，利用所提审计方法，系统研究了模型容量与金丝雀熵对记忆化的交互影响。实验证明，该方法在多个基准数据集上实现了最先进的隐私审计效果，为LLM隐私风险评估提供了实用工具。

本文针对自主航天器在轨运行时面临的网络射频（RF）威胁，提出采用TinyML（微型机器学习）技术实现轻量级、低延迟的机载检测。研究以SPARTA攻击模型为基础，覆盖了上行链路干扰、Fake-NR欺骗、有效载荷篡改、地面段入侵以及未授权命令注入五类典型威胁。作者系统分析了四种经典机器学习模型（随机森林、逻辑回归、支持向量机、多层感知机）在TinyML兼容环境下的延迟-准确率权衡。理论分析部分结合物理信息，计算各模型的计算复杂度、VC维、Lipschitz连续性及延迟缩放特性；实证部分则利用BandErasure、FakeNR和NoiseBurst三种对抗性RF频谱图生成方式，在合成数据集上测量性能。实验结果表明，逻辑回归模型在微秒级推理速度下，准确率仅比随机森林低约1%，因此被推荐为机载自主检测的有效TinyML基线。研究还指出，通过引入更丰富的特征编码器和多时间尺度学习架构，可进一步提升航天器网络安全的检测能力，这为边缘智能与可信AI在航天领域的应用提供了方向。本文适合航天网络安全、嵌入式AI以及TinyML技术的研究者和工程师阅读。

该论文提出了一种针对扩散语言模型的全局草图水印方法。与自回归模型中逐token顺序生成并依赖局部上下文的水印方案不同，扩散语言模型在生成过程中同时采样多个未确定位置的分布，使得整个序列的加性统计量在生成时是可处理的。作者利用这一特性，设计了一个控制文本全局向量草图表示的水印机制。该方法通过一个与顺序无关的统计量来检测水印，避免了传统上下文相关水印中表现出的简单令牌偏置问题。论文分析了该方法的失真性（对生成质量的影响）、可靠性（检测准确性）和鲁棒性（抗攻击能力），并提供了理论保证。实验部分（摘要未详述，但推测有）验证了该方法在保持文本质量的同时实现了有效的水印嵌入和检测。该工作为扩散语言模型的可追溯性和版权保护提供了新思路。

本文针对差分隐私随机梯度下降（DPSGD）中隐私核算不严谨的问题进行研究。DPSGD通过在梯度上添加噪声并裁剪梯度来保护隐私，但这会导致模型效用显著下降且收敛缓慢。先前的工作，特别是差分隐私选择性更新与释放（DPSUR）算法，通过选择性更新部分梯度实现了较好的模型效用，但其隐私核算忽略了选择性释放机制引入的采样概率变化，从而削弱了隐私保证的严谨性。为了克服这一局限，本文重新评估了选择性释放机制的隐私分析，并提出了一种新算法——基于裁剪梯度的差分隐私选择性释放（DPSR-CG）。该算法通过严格的、新推导的隐私分析，在多个数据集（MNIST、CIFAR-10、IMDB和FMNIST）上进行了大量实验，结果表明DPSR-CG在保持严格隐私保证的同时，实现了卓越的模型性能。本文的核心贡献是修正了隐私核算缺陷，并提供了更高效的隐私-效用平衡方案。适合对差分隐私、机器学习隐私保护感兴趣的研究人员和工程师阅读。

本文针对满足 (ε, δ)-差分隐私的标量实值查询函数，设计了一类加性噪声机制，特别关注中低隐私保护水平（即ε较大或δ较宽松）的场景。作者提出的“混合机制”（mixture mechanisms）通过混合多个高斯分布来构造噪声分布，这些高斯分布具有相同的方差，但均值不同，并通过凸组合的方式调整混合权重。具体而言，该分布可以解释为零均值高斯（如分析高斯机制中使用的）与若干均值依赖于查询敏感度的高斯分布的凸组合。论文推导了实现 (ε, δ)-DP 所需方差的紧条件，并给出了高效算法计算这些方差。与广泛使用的分析高斯机制相比，混合机制在期望噪声幅值（ℓ1损失）和方差（零均值分布的ℓ2损失）上均有显著降低。在驱动本设计的低隐私保护水平下，该机制接近于最优，几乎消除了分析高斯机制的全部最优性缺口。该研究为差分隐私的噪声注入提供了一种新的理论框架，适合对差分隐私理论、隐私保护数据发布感兴趣的研究人员和工程师阅读。

本文研究了球面 Hellinger-Kantorovich (SHK) 梯度流的稳定性及其在差分隐私 (DP) 中的应用。SHK 几何将运输和反应耦合，其梯度流与生灭 Langevin 动力学一致，可用于从 Gibbs 分布中采样。作者提出了一种扰动理论，针对两个不同势函数 V 和 V'，从相同的初始分布出发，比较它们对应的 SHK 梯度流，并量化势函数差异随时间的传播效应。通过统一的扰动界，获得了对数似然比和 Rényi 散度的无维点态控制；在额外结构条件下，还导出了 KL 散度的界。这些结果被应用于差分隐私中指数机制的近似采样：对数似然比控制提供了基于 SHK 采样器的显式时间相关纯 DP 保证，而 KL 散度界则通过曲棍球棒散度给出近似 DP 证书。此外，本文还推导了一个效用界，将指数机制固有的次优性与有限时间采样误差分离开来。该工作为基于梯度流的隐私保护采样算法提供了理论支撑，揭示了势函数扰动对采样分布隐私保证的影响机制。

多模态大语言模型（MLLMs）尽管性能强大，但仍易受基于迁移的目标攻击：攻击者在开源代理编码器上优化扰动，该扰动可泛化至闭源MLLMs。提升对抗迁移性的关键在于有效捕获不同模型共享的内在视觉焦点，使扰动对齐可迁移的语义线索而非代理特定行为。现有方法受限于空间域特征冗余和代理特定梯度信号，阻碍了跨模型迁移性。本文提出FRA-Attack，从统一的频率域正则化视角解决这两个挑战。在特征对齐方面，对块特征使用高通DCT目标，抑制冗余全局结构并将损失集中在承载MLLMs内在视觉焦点的高频带上。在梯度优化方面，引入频率域梯度正则化（FGR），一种模型无关的低通正则化器，仅利用几何频率坐标调节代理梯度，不涉及任何代理导出统计量，因此FGR天然模型无关，去除代理特定高频伪影的同时保留可迁移的低频方向。两者结合形成统一的频率域迁移性处理。在来自7个供应商的15个旗舰MLLM上的广泛实验表明，FRA-Attack实现了优异的跨模型迁移性，尤其在GPT-5.4、Claude-Opus-4.6和Gemini-3-flash上达到最先进性能。

该论文研究差分隐私（DP）约束下的分布采样问题。传统方法使用KL散度等密度比度量评估DP采样效用，但存在两个关键局限：1）无法捕捉支撑集的几何结构；2）当分布支撑集不同时不适用。为克服这些局限，作者提出以Wasserstein距离作为效用度量的新框架，并设计了基于Wasserstein投影的Wasserstein投影机制（WPM），该机制在极小化极大意义下最优。此外，还开发了近似计算该机制的高效算法并提供了收敛性保证。该工作为差分隐私采样提供了几何感知的实用工具，适用于需要生成隐私保护且保持数据几何结构样本的场景。