本文的作者分別來自西安交通大學(xué)和東京科學(xué)大學(xué)。第一作者宋天樂是來自西安交通大學(xué)的博士生，研究方向聚焦于人機(jī)交互行為安全，生物特征識(shí)別，隱私保護(hù)。通訊作者為西安交通大學(xué)藺琛皓教授。

移動(dòng)應(yīng)用通過 Android 和 iOS 的接口能夠獲取加速度計(jì)、陀螺儀等運(yùn)動(dòng)傳感器數(shù)據(jù)，這些數(shù)據(jù)支撐了活動(dòng)識(shí)別、計(jì)步和手勢交互等重要功能，已成為移動(dòng)服務(wù)的關(guān)鍵基礎(chǔ)。然而，傳感器數(shù)據(jù)的細(xì)粒度特性也帶來了隱私隱患。研究表明，其可以被用來推斷用戶性別、年齡等敏感屬性，使用戶在不知情的情況下遭受隱私泄露。因此，如何在保持傳感器數(shù)據(jù)實(shí)用性的同時(shí)有效保護(hù)用戶隱私，已成為移動(dòng)應(yīng)用生態(tài)中亟需解決的問題。

在 AAAI 2026 上，西安交通大學(xué)與東京科學(xué)大學(xué)提出了移動(dòng)傳感器隱私保護(hù)框架 PATN。該框架基于對(duì)抗攻擊思想，通過微小擾動(dòng)實(shí)現(xiàn)隱私保護(hù)同時(shí)不影響數(shù)據(jù)語義和時(shí)序結(jié)構(gòu)。為應(yīng)對(duì)實(shí)時(shí)防護(hù)和時(shí)間錯(cuò)位問題，PATN 設(shè)計(jì)了兩大核心技術(shù)：利用歷史傳感器數(shù)據(jù)的生成網(wǎng)絡(luò)實(shí)現(xiàn)未來擾動(dòng)的即時(shí)預(yù)測與施加，解決實(shí)時(shí)擾動(dòng)生成；引入歷史感知 top-k 優(yōu)化策略，緩解擾動(dòng)與攻擊序列的時(shí)間錯(cuò)位。該框架在多種數(shù)據(jù)場景下提供高保真、連續(xù)的隱私防護(hù)，有效抑制敏感屬性推斷，同時(shí)不影響正常應(yīng)用功能，顯著提升移動(dòng)傳感器隱私安全性。

論文標(biāo)題：Privacy on the Fly: A Predictive Adversarial Transformation Network for Mobile Sensor Data論文鏈接: https://arxiv.org/abs/2511.07242代碼鏈接: https://github.com/skysky4/PATN

問題定義

盡管現(xiàn)有隱私保護(hù)方法在傳感器數(shù)據(jù)處理上已有成果，但仍存在顯著局限。數(shù)據(jù)混淆和生成模型通常需緩存完整序列，難以滿足實(shí)時(shí)防護(hù)需求；大多數(shù)對(duì)抗攻擊方法假設(shè)可訪問完整序列并按固定時(shí)間線生成擾動(dòng)，而實(shí)際攻擊可能隨時(shí)發(fā)生，導(dǎo)致擾動(dòng)與攻擊錯(cuò)位，降低防護(hù)效果。由此可歸納出兩大關(guān)鍵問題：

1.實(shí)時(shí)擾動(dòng)生成：如何在數(shù)據(jù)產(chǎn)生的瞬間生成未來方向的擾動(dòng)，確保隱私防護(hù)能夠零時(shí)延、連續(xù)地生效，而無需等待完整序列。

2.防御與攻擊的時(shí)間錯(cuò)位：如何保證在攻擊時(shí)間與防御擾動(dòng)存在偏移的情況下，擾動(dòng)仍能有效覆蓋目標(biāo)窗口，實(shí)現(xiàn)持續(xù)可靠的隱私保護(hù)。

技術(shù)方法 - PATN

PATN 假設(shè)可訪問開源隱私推斷模型及其梯度，并利用歷史傳感器數(shù)據(jù)預(yù)測未來擾動(dòng)，使其在最大程度干擾隱私推斷的同時(shí)保持?jǐn)?shù)據(jù)語義穩(wěn)定。系統(tǒng)包含兩部分：訓(xùn)練階段，通過對(duì)抗效果、時(shí)間魯棒性和平滑正則化三類損失聯(lián)合優(yōu)化，實(shí)現(xiàn)隱私保護(hù)與數(shù)據(jù)保真的平衡；設(shè)備端部署，將訓(xùn)練后的網(wǎng)絡(luò)以本地方式運(yùn)行，實(shí)現(xiàn)零時(shí)延擾動(dòng)生成，從而滿足實(shí)時(shí)傳感器流的即時(shí)防護(hù)需求。

擾動(dòng)范圍：為避免擾動(dòng)破壞傳感器數(shù)據(jù)語義，作者對(duì)每個(gè)傳感器維度的擾動(dòng)幅度進(jìn)行了嚴(yán)格限制。擾動(dòng)被約束在該維度均值或標(biāo)準(zhǔn)差 5% 的范圍內(nèi)，確保其相對(duì)于原始信號(hào)足夠微小。同時(shí)，在靜態(tài)條件下測量了設(shè)備的自然傳感器波動(dòng)，將其作為額外的上限約束。最終，每個(gè)維度的擾動(dòng)幅度取數(shù)據(jù)統(tǒng)計(jì)范圍與自然波動(dòng)范圍的較小值，使擾動(dòng)始終保持在用戶難以察覺的正常噪聲水平內(nèi)。

基于歷史數(shù)據(jù)的擾動(dòng)生成模型：模型僅使用過去的傳感器序列預(yù)測未來序列的對(duì)抗擾動(dòng)，使系統(tǒng)在數(shù)據(jù)到達(dá)前即可提前構(gòu)建防護(hù)，實(shí)現(xiàn)零未來依賴的實(shí)時(shí)隱私保護(hù)。模型采用序列到序列結(jié)構(gòu)，由 LSTM 編碼器和解碼器組成。編碼器提取歷史序列的時(shí)序模式，將近期用戶傳感器動(dòng)態(tài)壓縮為潛在表示。解碼器在不訪問未來數(shù)據(jù)的情況下，自回歸生成未來擾動(dòng)序列：每個(gè)時(shí)間步既依賴編碼器的潛在表示，也繼承前一步輸出，保證擾動(dòng)在時(shí)間維度的連貫性。生成的擾動(dòng)向量與傳感器維度一一對(duì)應(yīng)，可直接作用于未來數(shù)據(jù)流。

歷史感知 top-k 優(yōu)化策略：該策略將上一輪擾動(dòng)與當(dāng)前擾動(dòng)拼接成新的長序列，并將其疊加到輸入信號(hào)上，通過滑動(dòng)窗口生成多個(gè)時(shí)間序列片段并計(jì)算對(duì)應(yīng)的對(duì)抗損失，并從所有窗口損失中選取前 k 個(gè)最高值并取平均作為優(yōu)化目標(biāo)，使模型重點(diǎn)提升在 “最難防護(hù)” 的時(shí)間區(qū)域的攻擊效果。通過該策略，使生成的擾動(dòng)在時(shí)間上更加一致，并能在任意攻擊窗口下保持穩(wěn)定的隱私防護(hù)能力。

實(shí)驗(yàn)結(jié)果

作者在兩個(gè)移動(dòng)設(shè)備傳感器數(shù)據(jù)集上全面評(píng)估了 PATN 的隱私保護(hù)性能。MotionSense 數(shù)據(jù)集包含用戶在六種日常活動(dòng)（走路、跳躍、坐、站立、上樓、下樓）下的加速度計(jì)和陀螺儀數(shù)據(jù)；ChildShield 數(shù)據(jù)集收集了用戶在五類不同游戲場景下的加速度計(jì)和陀螺儀數(shù)據(jù)。隱私對(duì)抗模型采用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行評(píng)估。

性能：對(duì)比現(xiàn)有的基線方法，在實(shí)時(shí)保護(hù)性能方面，PATN 明顯優(yōu)于傳統(tǒng)方法。DP、UAP 等固定擾動(dòng)策略以及 FGSM、PGD 等對(duì)抗攻擊方法，均無法針對(duì)連續(xù)到達(dá)的實(shí)時(shí)傳感器數(shù)據(jù)進(jìn)行動(dòng)態(tài)防護(hù)，且缺乏對(duì)未來數(shù)據(jù)的適應(yīng)能力。PATN 通過歷史數(shù)據(jù)預(yù)測生成擾動(dòng)，實(shí)現(xiàn)零時(shí)延施加，同時(shí)保持?jǐn)?shù)據(jù)的語義與時(shí)序結(jié)構(gòu)，能夠在連續(xù)數(shù)據(jù)流中持續(xù)有效地干擾隱私推斷模型。

數(shù)據(jù)可用性：在數(shù)據(jù)可用性方面，PATN 同樣優(yōu)于現(xiàn)有方法（PrivDiffuser）。結(jié)果表明，在行為識(shí)別和步態(tài)檢測等下游任務(wù)中，使用 PATN 擾動(dòng)后的傳感器數(shù)據(jù)幾乎不影響任務(wù)性能，而 PrivDiffuser 會(huì)引入較大信號(hào)扭曲，從而降低下游任務(wù)精度。PATN 通過嚴(yán)格控制擾動(dòng)幅度，既有效隱藏敏感信息，又保證數(shù)據(jù)在良性任務(wù)的可用性，實(shí)現(xiàn)隱私保護(hù)與應(yīng)用性能的兼顧。

遷移性：在可遷移性方面，PATN 展現(xiàn)出良好的泛化能力和時(shí)間適應(yīng)性。固定輸出長度生成的擾動(dòng)即可有效攻擊不同輸入長度的黑盒模型，無需針對(duì)每個(gè)模型重新優(yōu)化。此外，面對(duì)結(jié)構(gòu)完全不同的黑盒模型，PATN 依然維持較高的攻擊成功率和 EER，證明其擾動(dòng)對(duì)未知或更復(fù)雜模型同樣穩(wěn)健。

總結(jié)

本文提出了 PATN，一種基于歷史數(shù)據(jù)的擾動(dòng)生成框架，通過利用過去的傳感器信號(hào)預(yù)測未來擾動(dòng)，實(shí)現(xiàn)對(duì)實(shí)時(shí)數(shù)據(jù)的零延遲隱私保護(hù)，同時(shí)保持原始數(shù)據(jù)的時(shí)序與語義完整性。未來工作將拓展 PATN 在黑盒模型下的適用性，并覆蓋更多敏感屬性。