AAAI 2026 Oral | 手機傳感器在泄露隱私？PATN實時守護隱私安全

本文的作者分別來自西安交通大學和東京科學大學。第一作者宋天樂是來自西安交通大學的博士生，研究方向聚焦于人機交互行為安全，生物特征識別，隱私保護。通訊作者為西安交通大學藺琛皓教授。

移動應用通過 Android 和 iOS 的接口能夠獲取加速度計、陀螺儀等運動傳感器數據，這些數據支撐了活動識別、計步和手勢交互等重要功能，已成為移動服務的關鍵基礎。然而，傳感器數據的細粒度特性也帶來了隱私隱患。研究表明，其可以被用來推斷用戶性別、年齡等敏感屬性，使用戶在不知情的情況下遭受隱私泄露。因此，如何在保持傳感器數據實用性的同時有效保護用戶隱私，已成為移動應用生態中亟需解決的問題。

在 AAAI 2026 上，西安交通大學與東京科學大學提出了移動傳感器隱私保護框架 PATN。該框架基于對抗攻擊思想，通過微小擾動實現隱私保護同時不影響數據語義和時序結構。為應對實時防護和時間錯位問題，PATN 設計了兩大核心技術：利用歷史傳感器數據的生成網絡實現未來擾動的即時預測與施加，解決實時擾動生成；引入歷史感知 top-k 優化策略，緩解擾動與攻擊序列的時間錯位。該框架在多種數據場景下提供高保真、連續的隱私防護，有效抑制敏感屬性推斷，同時不影響正常應用功能，顯著提升移動傳感器隱私安全性。

• 論文標題：Privacy on the Fly: A Predictive Adversarial Transformation Network for Mobile Sensor Data
• 論文鏈接: https://arxiv.org/abs/2511.07242
• 代碼鏈接: https://github.com/skysky4/PATN

問題定義

盡管現有隱私保護方法在傳感器數據處理上已有成果，但仍存在顯著局限。數據混淆和生成模型通常需緩存完整序列，難以滿足實時防護需求；大多數對抗攻擊方法假設可訪問完整序列并按固定時間線生成擾動，而實際攻擊可能隨時發生，導致擾動與攻擊錯位，降低防護效果。由此可歸納出兩大關鍵問題：

1.實時擾動生成：如何在數據產生的瞬間生成未來方向的擾動，確保隱私防護能夠零時延、連續地生效，而無需等待完整序列。

2.防御與攻擊的時間錯位：如何保證在攻擊時間與防御擾動存在偏移的情況下，擾動仍能有效覆蓋目標窗口，實現持續可靠的隱私保護。

技術方法 - PATN

PATN 假設可訪問開源隱私推斷模型及其梯度，并利用歷史傳感器數據預測未來擾動，使其在最大程度干擾隱私推斷的同時保持數據語義穩定。系統包含兩部分：訓練階段，通過對抗效果、時間魯棒性和平滑正則化三類損失聯合優化，實現隱私保護與數據保真的平衡；設備端部署，將訓練后的網絡以本地方式運行，實現零時延擾動生成，從而滿足實時傳感器流的即時防護需求。

擾動范圍：為避免擾動破壞傳感器數據語義，作者對每個傳感器維度的擾動幅度進行了嚴格限制。擾動被約束在該維度均值或標準差 5% 的范圍內，確保其相對于原始信號足夠微小。同時，在靜態條件下測量了設備的自然傳感器波動，將其作為額外的上限約束。最終，每個維度的擾動幅度取數據統計范圍與自然波動范圍的較小值，使擾動始終保持在用戶難以察覺的正常噪聲水平內。

基于歷史數據的擾動生成模型：模型僅使用過去的傳感器序列預測未來序列的對抗擾動，使系統在數據到達前即可提前構建防護，實現零未來依賴的實時隱私保護。模型采用序列到序列結構，由 LSTM 編碼器和解碼器組成。編碼器提取歷史序列的時序模式，將近期用戶傳感器動態壓縮為潛在表示。解碼器在不訪問未來數據的情況下，自回歸生成未來擾動序列：每個時間步既依賴編碼器的潛在表示，也繼承前一步輸出，保證擾動在時間維度的連貫性。生成的擾動向量與傳感器維度一一對應，可直接作用于未來數據流。

歷史感知 top-k 優化策略：該策略將上一輪擾動與當前擾動拼接成新的長序列，并將其疊加到輸入信號上，通過滑動窗口生成多個時間序列片段并計算對應的對抗損失，并從所有窗口損失中選取前 k 個最高值并取平均作為優化目標，使模型重點提升在 “最難防護” 的時間區域的攻擊效果。通過該策略，使生成的擾動在時間上更加一致，并能在任意攻擊窗口下保持穩定的隱私防護能力。

實驗結果

作者在兩個移動設備傳感器數據集上全面評估了 PATN 的隱私保護性能。MotionSense 數據集包含用戶在六種日常活動（走路、跳躍、坐、站立、上樓、下樓）下的加速度計和陀螺儀數據；ChildShield 數據集收集了用戶在五類不同游戲場景下的加速度計和陀螺儀數據。隱私對抗模型采用卷積神經網絡進行評估。

性能：對比現有的基線方法，在實時保護性能方面，PATN 明顯優于傳統方法。DP、UAP 等固定擾動策略以及 FGSM、PGD 等對抗攻擊方法，均無法針對連續到達的實時傳感器數據進行動態防護，且缺乏對未來數據的適應能力。PATN 通過歷史數據預測生成擾動，實現零時延施加，同時保持數據的語義與時序結構，能夠在連續數據流中持續有效地干擾隱私推斷模型。

數據可用性：在數據可用性方面，PATN 同樣優于現有方法（PrivDiffuser）。結果表明，在行為識別和步態檢測等下游任務中，使用 PATN 擾動后的傳感器數據幾乎不影響任務性能，而 PrivDiffuser 會引入較大信號扭曲，從而降低下游任務精度。PATN 通過嚴格控制擾動幅度，既有效隱藏敏感信息，又保證數據在良性任務的可用性，實現隱私保護與應用性能的兼顧。

遷移性：在可遷移性方面，PATN 展現出良好的泛化能力和時間適應性。固定輸出長度生成的擾動即可有效攻擊不同輸入長度的黑盒模型，無需針對每個模型重新優化。此外，面對結構完全不同的黑盒模型，PATN 依然維持較高的攻擊成功率和 EER，證明其擾動對未知或更復雜模型同樣穩健。

總結

本文提出了 PATN，一種基于歷史數據的擾動生成框架，通過利用過去的傳感器信號預測未來擾動，實現對實時數據的零延遲隱私保護，同時保持原始數據的時序與語義完整性。未來工作將拓展 PATN 在黑盒模型下的適用性，并覆蓋更多敏感屬性。