中科大让AI学会"有选择地遗忘"：机器也能像人类一样忘记不想要的记忆

随着人工智能在我们生活中扮演越来越重要的角色，一个意想不到的问题浮出水面：如何让聪明的AI模型"忘记"一些东西？这听起来可能有些奇怪，毕竟我们通常希望机器记住更多信息。但在现实世界中，让AI忘记某些数据变得至关重要。比如，当用户要求删除个人信息时，或者当训练数据中包含错误、过时或恶意信息时，我们需要AI能够"选择性失忆"。

这项由中国科学技术大学计算机科学与技术学院的刘嘉伟、吴晨旺、廉德富和陈恩红教授团队完成的突破性研究，于2025年7月发表在arXiv预印本平台上（论文编号：arXiv:2507.23257v1），为这个难题提供了一个优雅的解决方案。他们的研究题为"Efficient Machine Unlearning via Influence Approximation"，首次从认知科学的角度重新审视了机器遗忘问题，并开发出了一种名为IAU（影响近似遗忘）的新方法。

传统上，当我们想让AI模型忘记某些训练数据时，最直接的方法就是重新训练整个模型——就像重新教一个学生整门课程一样。但这种方法极其耗时且昂贵，特别是对于那些处理海量数据的大型模型。另一种方法是使用"影响函数"来估算特定数据对模型的影响，然后相应地调整模型参数。然而，这种方法需要计算复杂的数学矩阵（称为Hessian矩阵），这个过程就像要求一个人同时记住并分析成千上万个复杂的数学关系，计算量巨大。

研究团队从认知科学中获得了灵感。心理学研究表明，对人类来说，记住新事物通常比忘记旧事物要容易得多。基于这个观察，他们提出了一个巧妙的想法：与其直接让AI"忘记"某些数据，不如让它"记住"一些能够抵消这些数据影响的新信息。这就像用一个正向的力来平衡一个负向的力，最终达到平衡状态。

他们的IAU方法包含三个核心组件。首先是"增量近似"模块，它通过让模型学习与需要遗忘数据相反的梯度信息来实现遗忘效果。这个过程类似于在天平的一边放上重物来平衡另一边的重量。第二个组件是"梯度校正"，它确保模型在忘记目标数据的同时，不会影响对其他重要数据的处理能力。最后一个组件是"梯度限制"，它在模型训练阶段就开始工作，通过控制梯度的大小来让模型更容易进行后续的遗忘操作。

研究团队在多个数据集和模型架构上进行了广泛的实验验证。他们使用了包括CIFAR-10、SVHN、Purchase100和CIFAR-100在内的多个标准数据集，以及LeNet5、ResNet18、MLP和VGG19等不同类型的神经网络模型。实验结果表明，IAU方法在保持模型性能的同时，显著提高了遗忘效率。

一、从认知科学角度重新理解机器遗忘

人类大脑处理记忆和遗忘的方式为这项研究提供了核心洞察。当我们学习新知识时，大脑会形成新的神经连接；而当我们想要忘记某些记忆时，大脑实际上是通过形成新的连接来"覆盖"或"抵消"旧的记忆模式。研究团队发现，这个生物学原理可以应用到人工智能模型中。

传统的机器遗忘方法试图直接删除或修改模型中与特定数据相关的参数，这个过程既复杂又容易破坏模型的整体性能。相比之下，IAU方法采用了一种更自然的方式：通过增量学习来实现遗忘。具体来说，如果我们想让模型忘记某个数据点A，我们可以让模型学习一个与A具有相反影响的数据点B。当A的影响和B的影响相互抵消时，模型就等效地"忘记"了A。

这种方法的数学基础建立在影响函数理论上。影响函数可以告诉我们，当我们从训练数据中移除一个特定样本时，模型参数会如何变化。研究团队发现，如果两个数据点的梯度相反，那么它们对模型的影响也会相反。因此，通过学习一个具有相反梯度的数据点，模型可以有效地抵消需要遗忘的数据点的影响。

这个发现不仅解决了计算复杂度的问题，还为机器学习开辟了一个新的研究方向。它表明，增量学习和机器遗忘这两个看似独立的研究领域实际上存在深刻的理论联系。

二、三重保障确保遗忘效果与模型性能

IAU方法的成功关键在于其三个相互协作的核心模块，每个模块都承担着特定的任务，共同确保遗忘过程既彻底又安全。

增量近似模块是整个系统的核心驱动器。当接收到遗忘请求时，这个模块不会直接删除相关信息，而是计算需要遗忘数据的梯度信息，然后让模型沿着相反的方向进行学习。这个过程可以类比为物理学中的作用力与反作用力原理：如果原始数据对模型产生了向右的"推力"，那么增量近似模块就会产生一个向左的"推力"来抵消它。这种方法避免了传统影响函数方法中复杂的矩阵计算，大大提高了计算效率。

然而，仅凭增量近似可能会导致"过度遗忘"的问题。就像用力过猛可能会让天平倒向另一边一样，单纯的梯度抵消可能会影响模型对其他重要数据的处理能力。因此，梯度校正模块应运而生。这个模块的任务是在遗忘目标数据的同时，加强模型对剩余数据的学习。它通过让模型重新学习保留数据的梯度信息，确保模型在忘记不需要的信息后，仍然能够很好地处理其他任务。

梯度限制模块则是一个前瞻性的设计。与其他两个模块在遗忘阶段才开始工作不同，这个模块从模型训练的最初阶段就开始发挥作用。它通过在损失函数中添加一个梯度规范化项，限制模型参数梯度的大小。这样做的好处是，当后续需要进行遗忘操作时，所有数据点对模型的影响都相对较小且均匀，使得遗忘操作更加精确和可控。

这种三重保障机制的设计理念体现了工程学中的鲁棒性原则。单独使用任何一个模块都可能存在局限性，但三个模块的协同工作确保了IAU方法在各种情况下都能稳定运行。实验结果证实了这种设计的有效性：当分别测试只使用增量近似、增量近似加梯度校正、以及完整的三模块组合时，完整版本在模型效用和遗忘效果之间取得了最佳平衡。

三、实验验证展现卓越性能表现

为了验证IAU方法的实际效果，研究团队设计了一系列全面的对比实验。他们选择了四个具有代表性的基准数据集：CIFAR-10和SVHN（图像分类任务）、Purchase100（表格数据）和CIFAR-100（更复杂的图像分类任务）。同时，他们使用了多种不同架构的神经网络模型，包括经典的LeNet5、现代的ResNet18、基础的多层感知机MLP，以及更深层的VGG19网络。

实验的评估标准包含三个关键维度。首先是模型效用，即遗忘后的模型在测试集上的性能与理想情况（重新训练）的差距。理想情况下，这个差距应该尽可能小。其次是遗忘时间，即完成遗忘操作所需的计算时间。最后是遗忘效果，通过成员推断攻击来测试模型是否真正"忘记"了目标数据。

在与现有主流方法的对比中，IAU展现出了显著优势。以在CIFAR-10数据集上使用LeNet5模型遗忘5%训练数据为例，传统的USGD方法需要33秒完成遗忘，模型性能下降0.80%，而IAU只需要13秒，性能下降仅为1.31%。更重要的是，当使用Fisher方法时，遗忘时间竟然达到了1294秒，这已经接近重新训练的时间成本。

特别值得注意的是IAU在处理异常数据时的表现。研究团队专门设计了一个移除异常值的实验，使用孤立森林算法在SVHN数据集中识别出587个异常样本。实验结果显示，IAU在处理这类具有挑战性的遗忘任务时表现尤为出色，这证明了梯度限制模块在处理具有大梯度的异常数据时的有效性。

为了更直观地展示遗忘效果，研究团队还提供了激活图可视化分析。他们比较了不同遗忘方法处理前后的模型激活模式。结果显示，重新训练后的模型激活图呈现轻微的向下偏移，这是预期的正常变化。而IAU方法产生的激活图变化模式与重新训练非常相似，证明了其遗忘效果的真实性。相比之下，其他一些方法要么变化过于剧烈（可能导致过度遗忘），要么变化不足（可能遗忘不彻底）。

四、计算复杂度分析凸显效率优势

从理论角度分析，IAU方法的计算复杂度优势非常明显。传统的基于Hessian矩阵的影响函数方法需要计算O(nt? + nk?p? + p?)的时间复杂度，其中n是样本数量，p是模型参数数量，t?是前向传播时间，k?是Hessian矩阵元素的计算成本。这个复杂度中最关键的问题是p?项，它来自于Hessian矩阵求逆操作。对于现代深度学习模型，参数数量p往往达到数百万甚至数十亿，使得p?成为一个几乎无法承受的计算负担。

相比之下，IAU方法的时间复杂度仅为O(nt? + nk?p)，其中k?是梯度计算的成本。关键的区别在于，IAU完全避免了矩阵求逆操作，将立方复杂度降低到了线性复杂度。即使考虑到一些近似方法（如L-BFGS或LiSSA）可以将Hessian求逆的复杂度降低到O(tp)，其中t是迭代次数，但总体复杂度仍然远高于IAU。

这种复杂度的差异在实际应用中转化为巨大的性能优势。在实验中，Fisher方法（基于Hessian近似）在处理相对简单的LeNet5模型时就需要超过1000秒的计算时间，而IAU只需要十几秒。当模型规模进一步扩大时，这种差异将变得更加显著。

更重要的是，IAU的计算过程主要涉及标准的梯度计算操作，这些操作可以很好地利用现代GPU的并行计算能力。而Hessian矩阵的计算和求逆往往需要更多的内存带宽和复杂的数值优化技术，在并行化方面存在更多挑战。

五、广泛的适用性和鲁棒性验证

研究团队通过一系列补充实验证明了IAU方法的广泛适用性。首先，他们在表格数据上验证了方法的有效性。使用Purchase100数据集和三层MLP模型的实验表明，IAU不仅适用于图像数据，在处理结构化的表格数据时同样表现出色。这证明了方法的通用性，不局限于特定的数据类型或模型架构。

针对更具挑战性的任务，研究团队在CIFAR-100数据集上使用VGG19模型进行了实验。CIFAR-100包含100个类别的图像，分类难度远高于CIFAR-10的10个类别。VGG19则是一个具有19层的深度卷积神经网络，参数数量和模型复杂度都显著提高。即使在这种更具挑战性的设置下，IAU仍然保持了良好的性能平衡。

特别值得关注的是IAU在处理异常值移除任务时的表现。异常值通常具有与正常数据显著不同的特征分布，它们对模型的影响往往不成比例地大。传统的遗忘方法在处理这类数据时经常遇到困难，要么无法完全移除异常值的影响，要么在移除过程中破坏了模型对正常数据的处理能力。IAU方法通过其梯度限制机制，在训练阶段就对这类异常影响进行了控制，使得后续的遗忘操作更加精确和可控。

研究团队还进行了详细的消融实验，分别验证了三个核心模块的作用。实验结果显示，仅使用增量近似模块时，虽然遗忘效果很好，但模型效用有所下降。加入梯度校正模块后，模型效用得到了显著改善，但遗忘效果略有下降。当三个模块完整结合时，系统在两个维度上都取得了最佳的平衡。

超参数敏感性分析进一步证明了方法的鲁棒性。研究团队测试了梯度限制项的权重系数α从0到0.01的不同取值，以及遗忘比例从1%到10%的不同设置。结果表明，IAU方法对超参数变化相对不敏感，在较宽的参数范围内都能保持稳定的性能。这种鲁棒性对于实际应用非常重要，因为它减少了用户进行复杂参数调优的需求。

六、方法的理论意义和实践价值

IAU方法的提出不仅解决了一个具体的技术问题，更重要的是它在理论层面建立了增量学习和机器遗忘之间的桥梁。传统上，这两个研究领域被视为相互独立的问题：增量学习关注如何让模型高效地学习新数据，而机器遗忘关注如何让模型忘记旧数据。IAU的核心洞察是，遗忘可以通过特殊形式的增量学习来实现。

这种理论统一具有深远的意义。它表明，我们可以将机器学习中的许多看似不同的问题归纳到更一般的框架中。增量学习领域经过数十年的发展，已经积累了大量成熟的理论和方法。通过建立这种联系，机器遗忘研究可以直接借鉴和应用这些成果，加速自身的发展。

从实践角度来看，IAU方法的优势在于其简单性和高效性。与需要复杂数学推导和数值优化的传统方法不同，IAU的核心操作就是标准的梯度计算和参数更新，这些都是深度学习框架中的基础操作。这意味着IAU可以很容易地集成到现有的机器学习工作流程中，无需额外的专门工具或复杂的实现。

在隐私保护方面，IAU方法提供了一种实用的解决方案。随着GDPR等隐私法规的实施，组织需要能够响应用户的数据删除请求。传统的重新训练方法在面对频繁的删除请求时成本过高，而IAU提供了一种快速、可靠的替代方案。更重要的是，IAU的遗忘效果可以通过成员推断攻击等技术进行验证，为隐私保护提供了可信的保障。

在模型安全方面，IAU方法也展现出了价值。当发现训练数据中包含恶意样本（如数据投毒攻击）时，传统的应对方法通常需要重新收集清洁数据并重新训练模型，这个过程既耗时又昂贵。IAU方法使得组织可以快速移除恶意数据的影响，及时修复模型的安全漏洞。

七、技术细节和实现考量

IAU方法在技术实现上的一个重要特点是其对现有深度学习基础设施的良好兼容性。整个算法只需要标准的自动微分功能来计算梯度，以及基本的参数更新操作。这意味着无论是PyTorch、TensorFlow还是其他主流深度学习框架，都可以直接支持IAU的实现，无需额外的底层优化或特殊硬件支持。

梯度限制损失函数的设计体现了方法的前瞻性思考。传统的机器遗忘方法通常只关注遗忘阶段的操作，而忽略了训练阶段的准备工作。IAU通过在训练损失中添加梯度规范化项，主动控制了模型参数对各个样本的敏感度。这个设计不仅改善了后续的遗忘效果，还带来了一个意外的好处：模型收敛速度的提升。实验显示，使用梯度限制损失训练的模型通常需要更少的训练轮数就能达到相同的性能水平。

在处理批量遗忘请求时，IAU方法展现出了良好的扩展性。当需要同时遗忘多个数据点时，算法只需要计算所有目标样本的梯度总和，然后进行一次参数更新操作。这种设计使得批量遗忘的计算成本与单个样本遗忘基本相同，这对于实际应用中经常出现的批量删除请求非常有价值。

值得注意的是，IAU方法的内存需求也相对较低。由于避免了Hessian矩阵的存储和计算，方法的内存占用主要来自于梯度计算，这与标准的训练过程基本相同。这使得IAU可以应用于资源受限的环境，或者处理内存需求较大的大型模型。

八、局限性和未来发展方向

尽管IAU方法在多个方面表现出色，但研究团队也诚实地指出了其局限性。首先，作为一种近似方法，IAU无法达到重新训练的完美效果。虽然在大多数情况下这种差异很小且可接受，但在某些对精确性要求极高的应用场景中，这可能成为一个考量因素。

其次，IAU方法的理论分析主要基于凸优化和一阶泰勒展开的假设。虽然实验结果表明这些假设在实践中是合理的，但深度神经网络的高度非凸性质意味着理论保证与实际表现之间可能存在差距。未来的研究需要进一步加强理论分析的严谨性。

在方法的通用性方面，当前的IAU主要针对监督学习任务进行了验证。对于无监督学习、强化学习或其他机器学习范式，方法的适用性还需要进一步探索。特别是在强化学习中，样本之间的时序依赖关系可能会对基于梯度的遗忘方法提出额外挑战。

研究团队指出了几个有前景的未来研究方向。首先是将IAU的思想扩展到更先进的增量学习方法中。当前的实现主要使用了基础的梯度下降，而现代增量学习领域已经发展出了许多更sophisticated的技术，如弹性权重整合、记忆回放等。将这些技术与IAU框架结合可能带来进一步的性能提升。

另一个重要方向是在联邦学习环境中的应用。联邦学习中的遗忘问题更加复杂，因为数据分布在多个客户端上，而IAU的分布式实现可能为这个挑战提供新的解决思路。

此外，自适应超参数选择也是一个值得探索的方向。虽然IAU对超参数相对不敏感，但不同的数据集和模型可能仍然存在最优参数设置。开发自动化的超参数选择机制可以进一步提升方法的实用性。

说到底，这项研究最令人兴奋的地方在于它改变了我们思考机器学习问题的方式。通过从认知科学中汲取灵感，研究团队不仅解决了一个具体的技术难题，更重要的是展示了跨学科思维在科学研究中的巨大价值。当我们面对看似复杂的技术问题时，答案可能就隐藏在其他领域的基础原理中。

IAU方法的成功证明了，有时候解决问题的最好方法不是直接攻击问题本身，而是重新审视问题的本质。通过将"遗忘"重新定义为"反向记忆"，研究团队巧妙地将一个困难的问题转化为一个相对简单的问题。这种思维方式不仅在技术研究中具有价值，在我们的日常生活和工作中同样适用。

对于普通读者来说，这项研究的意义远不止于技术本身。它提醒我们，在人工智能越来越深入我们生活的今天，我们不仅需要关注AI能做什么，也需要关注AI不应该记住什么。隐私保护、数据安全、模型公平性等问题将在未来变得越来越重要，而像IAU这样的技术为解决这些问题提供了有力工具。

有兴趣深入了解技术细节的读者可以通过arXiv平台访问完整论文（https://arxiv.org/abs/2507.23257），研究团队还在GitHub上开源了相关代码（https://github.com/Lolo1222/IAU），为进一步的研究和应用提供了便利。

Q&A

Q1：IAU机器遗忘方法与传统重新训练相比有什么优势？

A：IAU最大的优势是效率。传统重新训练需要从头开始训练整个模型，耗时数小时甚至数天，而IAU只需要几秒到几分钟就能完成遗忘操作。同时，IAU避免了复杂的矩阵计算，大大降低了计算成本和内存需求，特别适合需要频繁处理数据删除请求的场景。

Q2：IAU方法是如何确保真正"忘记"数据而不是假装忘记的？

A：研究团队使用了成员推断攻击来验证遗忘效果。这种攻击试图判断某个数据是否被用于训练模型。如果IAU真正忘记了目标数据，那么攻击成功率应该与重新训练的模型相似。实验结果显示，IAU处理后的模型确实表现出了与重新训练模型相似的攻击抵抗能力，证明遗忘是真实有效的。

Q3：普通用户或小公司能否使用IAU技术来保护数据隐私？

A：可以的。IAU方法的一个重要优势是实现简单，只需要标准的深度学习框架就能运行，不需要特殊硬件或复杂工具。研究团队已经在GitHub开源了代码，任何有基础机器学习知识的开发者都可以集成到自己的系统中。这为中小企业合规处理用户数据删除请求提供了实用的技术方案。