抽象

在企业设置中，组织数据是隔离的、孤立的 并受到精心设计的访问控制框架的精心保护。 如果 LLM 对 siloed data serve 请求进行微调，用于下游任务， 来自具有不同访问权限的个人。我们提出了许可 LLM （PermLLM），这是一类新的 LLM，它 叠加组织数据访问控制结构 查询响应。我们将抽象形式化 确定访问控制是否 在 LLM 查询响应上正确执行。我们 形式主义引入了相关响应的概念，即 可用于证明是否已实现 PermLLM 机制 正确。我们还引入了一种新的指标，称为 access 优势，实证评估 PermLLM 机制的有效性。我们介绍了三种新颖的 PermLLM 机制，它们 建立在 Parameter Efficient Fine-Tuning 的基础上，以实现所需的 存取控制。我们还提出了两个访问实例 优势 – （i） 基于域可区分性指数 （DDI） 成员资格推理攻击，以及 （ii） 效用差距指数 （UGI）基于 LLM 效用评估。我们证明了疗效 我们的 PermLLM 机制通过对四个 公共数据集（GPQA、RCV1、SimpleQA 和 WMDP），以及 评估 DDI 和 UGI 指标本身的有效性 量化 LLM 中的访问控制。

大型语言模型 （LLM），由于其前所未有的自然 语言处理功能正在被广泛采用 整个计算中的应用程序 工业[20,47]. LLM 成为主要界面的那一天可能不远了 到大量的计算和信息提取任务。在 在本文中，我们重点介绍使用 LLM 的企业设置 使用组织范围执行各种计算任务 数据。使用对组织数据具有广泛权限的 LLM 带来大量信息和实用程序，包括 能够结合从不同信息孤岛中学到的知识 组织，让组织中的个人触手可及。 然而 使从组织数据中学到的所有信息可供任何人使用 可以查询 LLM 的个人成为关键证券 挑战：组织具有访问控制结构和 严格控制进出信息流的层次结构 他们中的个体。通过 LLM 访问信息（如果不小心） 受控，可能会破坏现有的访问控制结构 和层次结构。

例如，考虑政府机构将 LLM 用于多个 的任务。政府机构中的数据是 通常被隔离在多个“权限级别”中，用户可以 仅访问他们具有访问权限的数据[29].任何其他 用户无法访问代理数据。接受过此培训的 LLM 机构范围的数据可能会将特权信息泄露给未经授权的人 用户，从而破坏了代理机构有效的访问控制框架 在原始数据上。另一个示例是基于角色的访问 控制[10,11]： 考虑健康诊所 环境中，个人扮演不同的“角色”（医生、 护士、技术人员、行政人员、患者等）互动 使用 LLM 来执行许多任务。用户的角色决定了 他们应该可以访问诊所范围数据的哪一部分。法学硕士 在诊所范围内接受数据的训练很容易被欺骗泄露 信息。

研究提案以构建指示 LLM 的系统提示 控制输出中生成的信息可以帮助遏制一些 将敏感信息泄露给未经授权的人 用户[8,24].但是，它们并没有达到绝对 安全性和巧妙的越狱提示[39,33,25,26]可以是 用于否决这些系统提示。最近的一项工作提出了标记 使用加密访问凭证的 LLM 查询来验证用户 并阻止未经授权的查询[7].这是一个好的开始， 但它缺乏允许访问不同 根据不同用户的访问权限从 LLM 中学到 凭据。我们讨论了访问控制问题和解决方案 代理系统和检索增强一代 （RAG） 系统[22]在 § 6 中。

本文重点介绍 LLM 在执行 根据来自众多数据孤岛的数据进行调优。这 这里的挑战是保证没有 访问特定数据孤岛无法从中检索信息 silos 的 Silos 中，通过向根据数据优化的 LLM 发送精心设计的查询 从那些孤岛中。最近的工作[12]服用 这是朝着这个方向迈出的第一步，但缺乏正式的框架 评估访问控制。此外，他们只探索一种类型的 机制。作为一个安全问题，访问控制是一个零和博弈，因此概率解决方案（例如差分 隐私[9]） 并不令人满意。

在本文中，我们全面研究了 LLM 微调中的访问控制问题。更具体地说：（i） 我们将 LLM 中的访问控制机制与 LLM 对用户有权访问的原始数据生成的响应 自。我们在形式主义中使用安全域的概念。我们 响应相关性的形式主义可用于证明 访问控制机制。我们还提出了一种称为 Access Advantage 的新指标，它帮助我们实证量化 访问控制机制对 LLM 的有效性 （§ 2）。 （ii） 我们提出了三种基于 Parameter Efficient Fine-Tuning 的新的 PermLLM 微调机制（见图 1） （PEFT）[17,41] (§ 3）。（iii） 我们介绍 我们的 Access Advantage 指标 Domain 的两个新实例 可区分性指数 （DDI） 和效用差距指数 （UGI），如 通过对抗性游戏审计访问控制执行的工具 设置 （§ 4）。（iv） 我们实证评估我们的 两个 LLM（Mistral-0.1-7B 和 Llama-3.1-8B） 使用四个不同的数据集：GPQA[32], RCV1[21]、SimpleQA[40]和 WMDP[23] (§ 5）。我们的评估显示了我们的 评估拟议访问权限是否 LLM 的控制机制正在正确实施数据保护。

我们定义一个安全域（以下称为 “域” brevity） 作为需要相同 用于访问的凭据（例如，其访问权限中具有相同组的文件 控制列表）。我们考虑预训练的 LLM（例如 Llama 和 Mistral 模型）对来自不同 具有附加约束的域 – 对推理时间的响应 查询将从对仅来自 用户有权访问的域。这个添加的约束是 通过控制 LLM 如何使用 来自不同域的数据。

考虑一个n不同的域𝕊=⋃我=1n{s我}，以及由这些 域D=⋃我=1nDs我∼𝒟s我（这里Ds我是从数据分布中采样的数据集𝒟s我域s我).让fD是使用数据集调整的 LLMD.让W是 的集合fD的参数。模型微调会更改W.我们说域名s我 影响参数的子集Ws我⊆W如果数据来自Ds我是 用于更改参数Ws我在模型微调期间（除非 否则，术语“影响”和“受影响”的含义是这样的 关系s我和Ws我在论文的其余部分）。我们 定义ℳ作为指示映射的访问控制机制 域s我to 参数Ws我通过 affects 关系。我们 假设使用 Data Set 进行微调的 LLMD已获得许可 （PermLLM），表示为fDℳ，如果它使用访问控制 机制ℳ映射其参数W到多个域 从𝕊，其中每个域s我affects 参数Ws我⊆W.在作上，在微调期间，ℳ指定 哪组模型参数Ws我针对给定域进行优化s我（更多细节见§ 3）。出于同样的原因， 在推理过程中，ℳ可以指定哪组模型参数 应用于根据用户的访问权限回答查询 凭据。

我们假设 PermLLM fDℳ位于 封闭系统𝒮对发送查询的用户进行身份验证 自fDℳ.𝒮确定用户u的访问 凭据c⁢r⁢e⁢du并调用身份验证（c⁢r⁢e⁢du)那 获取用户凭据c⁢r⁢e⁢du并将它们映射到 域Su那u可以访问。Su由𝒮并且永远不会向用户公开u.此过程可确保u不能 任意更改Su.每个用户u的后续查询q自fDℳ被注释为Su由𝒮.ℳ确定模型参数WSu用于生成响应rSu自q哪里WSu=⋃s∈SuWs.

定义 2.1 （相关回应）。

我们说访问控制机制ℳ是正确的 在 PermLLM 上强制执行 fDℳ IFF 每个响应r为每个用户生成u的查询q与Su.

上述对相关响应的定义有助于我们正式确定 如果提议的访问控制机制ℳ是算法上的 正确。然而，我们需要一个经验可量化的指标 确定ℳ是正确的。这对于审计尤其重要。到那个 最后，我们提出了一个名为 Response Relevance Score，r⁢e⁢l⁢v⁢(fDℳ⁢(q),Su)，它量化了 域集中的数据Su由 观察对使用模型参数生成的查询的响应WSu受Su.r⁢e⁢l⁢v是预期的 当q∼𝒟Su（即q与域集相关Su），与q≁𝒟Su.

我们限制r⁢e⁢l⁢v到实数间隔[0,1], 哪里1是相关性的最佳预期分数。r⁢e⁢l⁢v本身可以 由另一个经验指标表示，例如 prediction accuracy 或预期响应的 logits。然而，鉴于 LLM（以及一般的 ML 模型）是泛化引擎，在 我们期待的实践r⁢e⁢l⁢v小于1.此限制可以 通过衡量来有效解决r⁢e⁢l⁢v对于以下域 用户有权访问并将其与r⁢e⁢l⁢v对于域 用户无权访问。我们称之为 Access 优势。

定义 2.2 （Access Advantage）。

访问优势指标依赖于以下假设：fDℳ在 Domains User 上的性能明显更好u有访问权限 与 Domains 相比u无权访问。在其他 的话fDℳ应该在 不同的域，如ℳ.现有的 模型微调的方法无法实现这个目标，因为模型 传统上在所有域上进行训练，没有任何 内置域隔离机制。 据我们所知，之前没有关于 LLM 和 Privacy 正式解决了通过显式域进行访问控制的问题 隔离。接下来，我们提出了实现域的新机制 第 3 节中的隔离，并提出经验指标 评估 § 4 中的访问控制协议。

我们认为 Access Advantage 是审计师 确定访问控制机制是否真正实现了 按预期隔离域。因此，它位于 核数师的最佳利益，以确保Su∩Sv=φ. 在以下情况下，访问优势会显著减弱Su∩Sv≠φ，导致对 访问控制机制。

据我们所知，之前的工作是关于检索的 基于增强生成 （RAG） 的 LLM 部署不会明确处理 访问控制机制有效性的衡量问题 正式或实证。我们相关回应的形式主义和 Access Advantage 也扩展到 RAG 系统，缩小了 访问控制协议的形式主义和实证评估。而 对基于 RAG 的系统的访问控制的全面评估是 在本文范围之外，对条件进行更详细的分析 对于 RAG 系统中访问控制的正式正确性，似乎 在附录 A 中。

为了评估访问控制机制，我们考虑一个经典的 系统之间的对抗性博弈𝒮封闭模型fDℳ和审计师一个.我们给予一个选择的能力 domain 访问，将任意查询发送到 模型通过𝒮并观察反应。一个可以重玩游戏 多次作为不同的用户来判断访问控制是否为 正确实施。

审计师之间的正式博弈一个和系统𝒮如下：

1. 1. 

   审计员一个选择 Domain SetSu并模拟用户u.一个发送用户凭据c⁢r⁢e⁢du和查询q∼𝒟Su到系统𝒮.

2. 2. 

   𝒮验证用户凭证c⁢r⁢e⁢du并发回模型响应fDℳ⁢(q)自一个.

3. 3. 

   一个选择 Domain SetSv使得Sv∩Su=φ并模拟用户v.一个发送用户凭据c⁢r⁢e⁢dv和相同的查询q∼𝒟Su自𝒮.

4. 4. 

   𝒮验证用户凭证c⁢r⁢e⁢dv并发回模型响应fDℳ⁢(q)自一个.

5. 5. 

   一个得出结论，如果 Access Advantager⁢e⁢l⁢v⁢(fDℳ⁢(q),Su)⊝r⁢e⁢l⁢v⁢(fDℳ⁢(q),Sv)≥α.

请注意，审计员一个与普通用户不同，具有选择任意域访问权限的超级用户权限。这是设计使审计员能够评估声称的访问控制的正确性，同时仍遵循作为良性用户查询模型的协议。附录 C 中讨论了不同访问优势指标套件的这种对抗性游戏的详细实例。

我们依靠参数高效微调 （PEFT）[17,41]自 获取域的模型参数分离。我们专注于 LoRA PEFT 适配器[17]，但是我们的机制可以无缝地应用于 其他类型的适配器[16,41].三种机制 我们描述确保域数据被引导以训练选定的 LoRA 适配器。每个域都有一个唯一的标识符 （域 ID）。我们 访问控制机制在域和 LoRA 之间构建映射 adapters 的 Adapters 中。地图用于引导所有 从域到相应适配器进行训练的示例。 此映射还用于将查询引导至正确的 LoRA 适配器，网址为 推理时间。

对于名为 Activate 的基本机制，我们假设用户具有 最多访问一个域。图 1（a） 描述了我们的 base 机制，该机制在域和 LoRA 适配器。我们假设域的数量是已知的 beforehand，并使用该知识实例化相应的 Number 的 LoRA 适配器。在训练期间，每个小批量都从一个 domain 的 ID 中，域的 ID 用于选择 LoRA 适配器以 火车。在推理时，用户的查询使用域 ID 进行注释 用户有权访问。此域 ID 用于激活 相应域的 LoRA 适配器。

在许多应用程序设置中，用户可以访问来自多个 域。对于来自此类用户的查询，我们的 Activate 启用 所有相应的 LoRA 适配器，其激活次数的平均值为 推理时间。然而，我们发现来自不同 LoRA 的激活 适配器往往会相互干扰，从而导致 超出两个域的灾难性性能下降。我们离开 进一步细化激活空间转向[34,44]到未来的工作。在我们的第二种机制 Merge [图 1（b）] 中，我们采用了 LoRA 适配器 具有多个访问权限的用户的合并策略 域[37,42,45,49].我们试验了 多种 LoRA 合并算法，包括 TIES[42]和 敢[45]，但最终倾向于 SVD 方法[37]因为它的性能更好， 稳定性。我们假设用户可能有权访问的域组合事先是已知的。因此，在训练 LoRA 适配器，我们可以将它们合并为那些确切的 域组合。相应地，我们的 domain-LoRA 适配器映射是 使用域 ID 和合并的 LoRA 适配器进行更新。这些新的 在推理时使用映射来激活正确的合并 LoRA 适配器。 我们发现 adapter 合并对 cross-adapter 更健壮 干扰比激活合并。

尽管 Merge 优于激活空间合并 多个 LoRA 适配器，我们观察到它也会导致模型性能 随着合并适配器数量的增加而降级。因此， 我们探索了另一种简单的替代方案 Union，它根据来自每个唯一组合的数据训练 LoRA 适配器 用户有权访问的域。Union 确实在我们所有的 机制。然而，它的代价要大得多 优化时间计算 – 一个域可以以多种组合出现 域（例如在图 1（c） 中），数据Ds2用于 所有三个 LoRA 适配器的训练集）。此外，数据集 包含大量域会带来额外的挑战，即 域组合中的指数爆炸（最多2n).然而 我们相信现实世界中存在的组合数量 将比该上限小得多。

将域（或域组）仔细映射到正确的 LoRA 适配器，并将训练示例从域转向 相应的 LoRA 适配器可确保精确的参数分离 域。我们假设用户无法篡改其访问权限 推理时的凭证进一步帮助了 PermLLM 的封闭系统 以确定与查询对应的正确域集。这 使用 domain ID 通过 PermLLM 进行的查询转向可保证 PermLLM 生成的所有响应都与用户的域相关。此外，响应是 不是使用 LoRA 适配器生成的，这些适配器是使用 用户无权访问的域。 所有响应的响应相关性意味着我们的 PermLLM 访问控制机制的正确性。我们的证明出现了 在附录 B 中。

现在，我们介绍两个新颖的 access 实例 优势指标（定义 2.2）— 域 可区分性指数 （DDI） 和效用差距指数 （UGI） - 即 量化访问控制效果，独立于任何特定 系统设计。我们将展示这些指标如何适应 实证评估 PermLLM中的访问控制机制 附录 C 中的对抗性审计博弈。这些指标 在 [0,1] 范围内，值越高表示访问控制越好。

在传统的隐私评估中，成员推理攻击 （MIA） 利用采样的成员数据集（来自目标模型的训练集）和采样的非成员数据集来评估隐私泄露[18,36]：对手将样本分离和分类为成员或非成员的准确度越高，隐私风险就越高。类似地，我们采用这个 MIA 框架进行访问控制评估来区分安全域。具体而言，对于任何安全域集S我，审计员保存来自S我的训练数据（成员集）和样本Sj的训练数据（非成员集），其中Sj∩S我=φ.然后，审计员评估在激活 PermLLM 时区分成员集和非成员集的成功程度S我.此评估针对所有安全域进行，从而为我们提供了聚合访问优势，我们称之为域可区分性指数 （DDI）。

定义 4.1 （域可区分性指数 （DDI））。

我们还报告了m⁢(O(S我,Sj))跨所有域集对捕获 变异性。在 2.2 中，DDI 可以被视为 Access Advantage 量度，其中 Response Relevance 分数r⁢e⁢l⁢v为S我查询时q,r⁢e⁢l⁢v⁢(fDℳ⁢(q),S我)是关于成员资格推断 Oracle 的二进制值O的输出高于成员资格阈值。difference 运算符⊝是成员集和非成员集中所有样本的响应相关性的 MIA 方法特定组合。

我们使用 AUC-ROC 和 TPR@(l⁢o⁢w)FPR 作为 DDI 的实例，其中分数越高表示执行越强，因为S我- 特异性反应变得更加可区分。有关 MIA 评估指标的详细信息以及针对 LLM 的现有 MIA 的概述，请参阅附录 E.1 和 E.2。

DDI 越高，表示安全性之间的分离越可靠 域。在我们的评估中，我们采用最先进的 MIA 对于 LLM，包括 Loss[43], 兹利布[5]水貂[35], 水貂++[46]参考[5]攻击。

UGI 指标衡量在 PermLLM 而不是目标域中激活不同域的适配器时，目标域数据上的模型效用下降。

定义 4.2 （公用事业缺口指数 （UGI））。

在 2.2 中，UGI 也是访问优势的实例化 设置了安全域的相关性分数的量度S我查询时q是 效用值本身，relv⁢(fDℳ⁢(q),S我)=U⁢(fDℳ⁢(q)|S我), 和运算符⊝计算绝对值 采样查询之间的相关性分数的差异。

较大的 UGI 表示强制访问控制产生的值更高 反应中的明显差异，因此更容易察觉 质量。与 DDI 一样，我们还报告 对之间的标准差来表征变异性。我们评估了 Bleurt 评分 （Δb⁢l⁢u⁢e⁢r⁢t）、Bert F1-Score （Δb⁢e⁢r⁢t）、Sacrebleu 分数 （Δb⁢l⁢e⁢u） 和逐字准确度 （Δ一个⁢c⁢c） 用于 § 5 中的 UGI 指标。有关这些指标的更多详细信息，请参阅附录 § D.3。

对于我们的实验，我们会微调 四个数据集上的 Llama-3.1-8B 和 Mistral-0.1-7B 预训练模型 涵盖多个不同的安全域（以下简称域），我们为每个安全域微调一个单独的 LoRA 适配器 域。有关模型超参数的详细信息，请参阅附录 § D.1。我们在实验中使用的数据集是 WMDP[23]、GPQA[32]、SimpleQA[40]和 RCV1[21].表 1 显示了简介 数据集详细信息。有关数据集和泛化差距的更多详细信息，请参见附录 § D.2。附录 § D.3 讨论了我们所有模型的效用评估。

我们的方法实现了与现有方法相当的模型效用 微调（参见 § D.3 中的讨论），在 此外，还提供访问控制。在这里，我们将根据经验 使用一套 指标。我们将首先考虑用户有权访问 只有一个域，并在 § 5.1.1 中报告访问控制结果。接下来，在第 5.1.2 节中，我们将考虑 用户有权访问多个域。

在第 4 节中，我们提出了对抗式审计 在 PermLLM中实证评估访问控制的框架。我们 引入了 General Access 的两个具体实例 优势指标：域可区分性指数 （DDI） 和 Utility Gap Index （UGI） （公用事业缺口指数 （UGI））ΔU.尽管 § 3 给出了正式的保证 — 每个响应都是计算的 仅从用户有权访问的域中 - 我们使用 DDI 和 UGI 来衡量访问控制实施力度 (ΔU） 确认担保在实践中成立， 这对于验证 implementations 的正确性是必要的。

理论上ΔU可能会达到 1.0，但根据经验，我们 观察到 Access Advantage 差距要小得多，但很大 （图 2）。这些差距很大 受域分配和评分严格性的影响 度量。例如，SimpleQA 展示了最大的 UGI（高达Δb⁢l⁢u⁢e≈0.50和Δ一个⁢c⁢c≈0.50) 因为它具有最多的不同域（总共 10 个）。 此外，我们观察到Δb⁢l⁢e⁢u和Δ一个⁢c⁢c具有 最大值，因为这些指标会查找逐字模式匹配项， 因此要求模型记住目标中的细微差别 域。另一方面Δb⁢l⁢e⁢u⁢r⁢t和Δb⁢e⁢r⁢t看 以获得近似相似性，因此会受到 各个领域的相似之处。这表明逐字记录 匹配指标，Δb⁢l⁢e⁢u和Δ一个⁢c⁢c，则更好 用于衡量访问优势的模型效用指标与 基于相似度的量度Δb⁢l⁢e⁢u⁢r⁢t和Δb⁢e⁢r⁢t.为 像 RCV1 这样的大型数据集，所有指标都达到与 模型开始更多地泛化。虽然这些值并不接近 设置为 1，它们仍然证明了域是 不同，并且我们的访问控制协议按预期工作，因为 效用差距。访问优势阈值α取决于效用指标的类型：verbatim 匹配指标Δb⁢l⁢e⁢u和Δ一个⁢c⁢c具有比基于相似度的量度更高的阈值Δb⁢l⁢e⁢u⁢r⁢t和Δb⁢e⁢r⁢t.为Δ一个⁢c⁢c度量α>0.2足以推断访问控制正在正确进行。

表 2 显示了从一组 最先进的 MIA。跨域对，访问优势 （可区分性）评分方法α=1.0，表示 外部审计员几乎可以完美地识别活动域。 因此，即使 UGI 值明显低于1.0以 模型泛化，则高 DDI 值表明 Activate 中的访问控制仍按预期运行。这清楚地表明 DDI 是提高 PermLLM 访问控制效果的更好方法 评估。

如前面的 § 3 所述，我们探讨了三种方法 组合用户有权访问的多个领域的知识： （a） 激活所有特定于域的 LoRA 模块 （Activate），（b） 合并 LoRA 模块 （Merge） 和 （c） 单独训练 关于域并集的 LoRA 模块并将其用于推理 （联合）。表 3 报告了 UGI (ΔU），当用户有权访问两个 domains 的所有数据集。我们注意到 WMDP 和 GPQA 只有 三个安全域，因此始终激活任意两个域 导致计算时重叠ΔU根据 4.2.对于这些数据集，我们计算ΔU在 非重叠数据。Activate 的计算成本较低，但 与以前相比，遭受了相当大的效用损失 单域的情况下。这是由于跨 激活空间中的多个域，这是 多任务学习文献[48,38,30].公用事业损失 抑制绝对ΔU在我们的实验中。 如图 3 所示，Merge 减少了跨域干扰，但仍然 遭受公用事业损失。有趣的是，Merge 实现了 甚至更低ΔU比 Activate （激活） 时合并两个域时， 如表 3 所示。虽然它很快 当用户可以访问两个以上的 Activate 时，性能优于 Activate domains，由于模型合并而导致的效用损失 干扰[37,42,45,49]还会导致 进行性降解ΔU（参见图 3）。联合保留ΔU甚至超越四个域，以及 因此，当结合来自多个 域。但这是以更多的训练时间计算为代价的 由于新的特定于域的模块必须针对 域，并且可能存在 此类组合的数量。我们观察到类似的结果 Mistral-0.1-7B 模型（参见附录中的图 8）。

双域设置的 DDI 结果显示在表 4 （Llama-3.1-8B） 和表 5 （Mistral-0.1-7B） 中。正如我们从 这些表，我们实现了高 DDI 值（例如，接近α=1.0对于 AUC-ROC）。换句话说，审计师几乎可以 完美地识别哪个域有效，即使 相应的实用程序缺口 （ΔU) 远低于 1.0 （图 3）。Union 一致 获得最高的 DDI，然后是 Activate，然后是 Merge，这与观察到的趋势相同ΔU.然而，联合的优势是以更大的 tuning-time 计算。Union 近乎完美 可区分性反映了模型性能的效果（使用 增加域）打开ΔU（参见图 3）。至关重要的是，高 DDI 值确认即使ΔU由于型号而导致的 drops 由于激活空间或参数而导致的泛化或降级 干扰，访问控制不受影响;因此 DDI 提供更敏感的实施效果指标。

我们提出了访问控制问题的综合处理 在包括新形式主义在内的微调 LLM 上，实证评价 指标、访问控制执行机制和 机制以及提议的指标。我们正式建立了一个新类 的 LLM（称为许可 LLM）（PermLLM），其访问控制 执行性可以通过理论和经验验证 我们工作中提供的正式工具。

局限性。我们的方法不支持 具有任意重叠的属性域。我们观察到的另一个问题是 扩展到少数域之外。这要么导致严重的 效用降级（如 Activate 的情况）或变为 计算密集型 （for Union）。我们将这次探索留给 未来的工作。我们还注意到实验中的一些限制，我们 不要指望改变我们的关键声明。首先，我们只运行一个模型 由于计算，每个参数设置都进行了微调 开销。其次，我们不对 LoRA 等级进行消融研究 关于微调。我们对不同等级的初步实验 建议对模型效用的影响有限，因此我们坚持使用默认的 价值。对于第 2 节中的形式主义，我们假设 攻击者不会篡改其凭据或域 访问权限，否则他们可以获得任意域信息。这是 由封闭系统通过身份验证强制执行。

相关工作。代理系统中的访问控制问题可以 以有趣的方式表现出来，例如上下文 劫机[2]，并且可能需要进一步约束 单个代理上下文的范围。检索增强 代 （RAG） 系统[22,31,50]也容易受到访问控制问题的影响。但是， 需要在信息检索中强制执行访问控制 系统的引擎[4,14]并且超出了我们的 工作范围（尽管我们确实在 附录 A 中基于 RAG 的系统）。

我们可以将我们的回应形式主义与此相提并论 相关性和访问优势指标与先前关于不可区分性的研究 [1,3,9,13]在安全和隐私方面。这个作品谱系中的机制是 特别专注于消除 不同数据对计算的影响。相比之下，PermLLM 的 目标是最大化域分离，这意味着最大化 的可区分性 – 可区分性越明显， PermLLM 机制更有效。

更广泛的影响。我们预计我们的工作不会对社会产生任何负面影响。我们的工作 旨在通过以下方式加强个人数据的安全性和隐私性 实施严格的访问控制，以便只有之前具有 授权可以访问这些信息。我们的工作是 适用于医疗保健、金融以及更广泛的企业/治理应用程序 处理个人的敏感数据。