Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Private and interpretable clinical prediction with quantum-inspired tensor train models

José Ramón Pareja Monturiol, Juliette Sinnott|arXiv (Cornell University)|Feb 5, 2026
Adversarial Robustness in Machine Learning被引用数 0
ひとこと要約

要約:論文はテンソル-トレイン(TT)テンソライゼーションを用いて臨床予測モデルを privatize し解釈可能にすることを提案し、TT 防御は DP と比較して精度を保ちつつプライバシー漏洩を低減することをLRおよびNNのベースラインで示す。さらに解釈性を維持または向上させ、テンソライズされた NN へ適用を拡張する。

ABSTRACT

Machine learning in clinical settings must balance predictive accuracy, interpretability, and privacy. Models such as logistic regression (LR) offer transparency, while neural networks (NNs) provide greater predictive power; yet both remain vulnerable to privacy attacks. We empirically assess these risks by designing attacks that identify which public datasets were used to train a model under varying levels of adversarial access, applying them to LORIS, a publicly available LR model for immunotherapy response prediction, as well as to additional shallow NN models trained for the same task. Our results show that both models leak significant training-set information, with LRs proving particularly vulnerable in white-box scenarios. Moreover, we observe that common practices such as cross-validation in LRs exacerbate these risks. To mitigate these vulnerabilities, we propose a quantum-inspired defense based on tensorizing discretized models into tensor trains (TTs), which fully obfuscates parameters while preserving accuracy, reducing white-box attacks to random guessing and degrading black-box attacks comparably to Differential Privacy. TT models retain LR interpretability and extend it through efficient computation of marginal and conditional distributions, while also enabling this higher level of interpretability for NNs. Our results demonstrate that tensorization is widely applicable and establishes a practical foundation for private, interpretable, and effective clinical prediction.

研究の動機と目的

  • 臨床データ上の線形モデル(LR)とニューラルネット(NN)を対象に、ブラックボックスおよびホワイトボックスアクセス下でのプライバシーリスクを評価する。
  • 量子に着想を得た TT 防御を用いてモデルパラメータを難読化しつつ精度を維持できるかを評価する。
  • 同一タスクにおける線形・NNで TT ベースのプライバシーと differential privacy(DP)防御を比較する。
  • TT 表現の解釈性を示し、テンソライズされた NN への適用可能性を検討する。

提案手法

  • ホワイトボックス、強力なブラックボックス、2-wayブラックボックスアクセス下でシャドウモデルを用いたメンバーシップ推論攻撃を設計する。
  • 事前学習済み LR および NN モデルを TT-RSS によりテンソライゼーションし、パラメータを難読化した TT-LR および TT-NN を得る。
  • ブラックボックスアクセス下でのプライバシーを b ビンで出力スコアを離散化して制御し、LR-DP、NN-DP といった DP ベースラインと比較する。
  • 公開データ集合 D1,...,DM がどれで訓練に用いられたかを検出する敵対的多ラベル分類器を訓練する。
  • LORIS ベースの免疫療法予測および TT-RSS を用いた NN ベースラインに対して攻撃を評価し、WB 防御のゲージランダム化を含む。
  • TT 防御を攻撃スコア(ハミング)、精度、AUC の点で DP と比較する。
Figure 1: Feature sensitivity scores from LR and TT models (TT-LR and TT-NN, with $b=6$ ). LR scores are coefficients, while TT scores are obtained via marginalization. All values are normalized by the maximum absolute score.
Figure 1: Feature sensitivity scores from LR and TT models (TT-LR and TT-NN, with $b=6$ ). LR scores are coefficients, while TT scores are obtained via marginalization. All values are normalized by the maximum absolute score.

実験結果

リサーチクエスチョン

  • RQ1WB および BB アクセス下で臨床データ上の線形モデルとニューラルモデルがメンバーシップ推論にどれだけ脆弱か。
  • RQ2量子に着想を得た TT テンソライゼーションは、予測性能を損なうことなくモデルパラメータを十分に難読化して防御できるか。
  • RQ3同じタスクで TT ベースのプライバシーは線形・ニューラルモデルで DP とどう比較されるか。
  • RQ4TT 表現は LR の係数のような解釈性を保持し、周辺・条件付き分析を可能にするか。
  • RQ5臨床予測における解釈性とプライバシーのために、テンソライゼーションはテンソライズされた NN に適用可能か。

主な発見

ModelAccess typeAttack typeHamming score (mean ± std)
LR (vanilla)2-WBBLR coefficients recovered from TT (star)0.8178 ± 0.0035
LR (vanilla)SBBLR coefficients recovered from TT (star)0.9129 ± 0.0089
LR (vanilla)WBLR coefficients recovered from TT (star)0.9330 ± 0.0010
LR (averaged)2-WBBLR coefficients recovered from TT (star)0.9149 ± 0.0058
LR (averaged)SBBLR coefficients recovered from TT (star)0.9910 ± 0.0132
LR (averaged)WBLR coefficients recovered from TT (star)0.9999 ± 0.0000
LR-DP (ε=0.1)2-WBBattack0.5314 ± 0.0081
LR-DP (ε=0.1)SBBattack0.5352 ± 0.0064
LR-DP (ε=0.1)WBattack0.5088 ± 0.0059
LR-DP (ε=1)2-WBBattack0.5710 ± 0.0074
LR-DP (ε=1)SBBattack0.5808 ± 0.0059
LR-DP (ε=1)WBattack0.5178 ± 0.0107
LR-DP (ε=10)2-WBBattack0.7163 ± 0.0087
LR-DP (ε=10)SBBattack0.7840 ± 0.0140
LR-DP (ε=10)WBattack0.6403 ± 0.0149
LR-DP (ε=100)2-WBBattack0.7663 ± 0.0060
LR-DP (ε=100)SBBattack0.8610 ± 0.0260
LR-DP (ε=100)WBattack0.8672 ± 0.0076
TT-LR (b=2)2-WBBattack0.6666 ± 0.0025
TT-LR (b=2)SBBattack0.8231 ± 0.0065
TT-LR (b=2)WBattack0.7461 ± 0.0025
TT-LR (b=6)2-WBBattack0.7535 ± 0.0022
TT-LR (b=6)SBBattack0.8604 ± 0.0066
TT-LR (b=6)WBattack0.7979 ± 0.0027
TT-LR (b=10)2-WBBattack0.7687 ± 0.0020
TT-LR (b=10)SBBattack0.8710 ± 0.0053
TT-LR (b=10)WBattack0.8129 ± 0.0021
NN (BB)2-WBBattack0.7375 ± 0.0056
NN (BB)SBBattack0.8608 ± 0.0240
NN (BB)WBattack0.6336 ± 0.0064
TT-NN (b=2)2-WBBattack0.5759 ± 0.0055
TT-NN (b=2)SBBattack0.6184 ± 0.0209
TT-NN (b=2)WBattack0.5061 ± 0.0053
  • 元の LR および NN モデルは攻撃スコアが高く、プライバシー漏洩の脆弱性を示している。
  • より大きいプライバシー予算(大きな b、より大きい ε)は TT および DP の両方の防御でデータ漏洩を増大させる。
  • 平均化された LR モデルは素のものより脆弱であり、WB 攻撃は平均化モデルでほぼ完璧な分類に近づく。
  • TT モデルはアクセスレベルに渡って攻撃性能を低減し、WB 攻撃はランダム推測に、BB 防御は DP に匹敵する水準となり、未防御モデルに近い精度を維持する。
  • b=2 の TT 出力は強力なプライバシー保護と、ε が小さい DP に対する競争力のある有用性を提供し、TT-LR は周辺と条件付きの分析を通じて解釈性を維持する。
  • TT 表現は LR 的な単調性を保持し、がん種別のサブグループ分析を可能にし、解釈性をテンソライズされた NN へ拡張する。
Figure 2: Feature sensitivities from conditioned TT-LR models ( $b=6$ ). The legend indicates cancer type and balanced accuracy of each conditioned TT on the corresponding data.
Figure 2: Feature sensitivities from conditioned TT-LR models ( $b=6$ ). The legend indicates cancer type and balanced accuracy of each conditioned TT on the corresponding data.

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。