级联与代理成员推理攻击

成员推理攻击（MIA）通过判断特定查询实例是否包含在数据集中，评估训练后的机器学习模型对其训练数据的泄露程度。现有MIA可分为自适应和非自适应两类，区别在于攻击者是否被允许基于成员查询训练影子模型。

在自适应场景中（攻击者获取查询实例后可训练影子模型），重点强调了利用实例间成员依赖关系的重要性，并提出一种攻击无关的框架——级联成员推理攻击（CMIA）。该框架通过条件影子训练整合成员依赖关系，显著提升成员推理性能。

在非自适应场景中（攻击者在获取成员查询前仅能训练影子模型），引入了代理成员推理攻击（PMIA）。PMIA采用代理选择策略识别与查询实例行为相似的样本，并利用这些样本在影子模型中的行为进行成员后验概率检验。

研究为两种攻击提供了理论分析，大量实验结果表明：CMIA和PMIA在两种场景下均显著优于现有MIA方法，尤其在低误报率场景中表现突出——这对隐私风险评估至关重要。

代码已开源：https://github.com/xxx（链接已匿名化处理）