AAAI 2026 Oral | 手机传感器在泄露隐私？PATN实时守护隐私安全

本文的作者分别来自西安交通大学和东京科学大学。第一作者宋天乐是来自西安交通大学的博士生，研究方向聚焦于人机交互行为安全，生物特征识别，隐私保护。通讯作者为西安交通大学蔺琛皓教授。

移动应用通过 Android 和 iOS 的接口能够获取加速度计、陀螺仪等运动传感器数据，这些数据支撑了活动识别、计步和手势交互等重要功能，已成为移动服务的关键基础。然而，传感器数据的细粒度特性也带来了隐私隐患。研究表明，其可以被用来推断用户性别、年龄等敏感属性，使用户在不知情的情况下遭受隐私泄露。因此，如何在保持传感器数据实用性的同时有效保护用户隐私，已成为移动应用生态中亟需解决的问题。

在 AAAI 2026 上，西安交通大学与东京科学大学提出了移动传感器隐私保护框架 PATN。该框架基于对抗攻击思想，通过微小扰动实现隐私保护同时不影响数据语义和时序结构。为应对实时防护和时间错位问题，PATN 设计了两大核心技术：利用历史传感器数据的生成网络实现未来扰动的即时预测与施加，解决实时扰动生成；引入历史感知 top-k 优化策略，缓解扰动与攻击序列的时间错位。该框架在多种数据场景下提供高保真、连续的隐私防护，有效抑制敏感属性推断，同时不影响正常应用功能，显著提升移动传感器隐私安全性。

• 论文标题：Privacy on the Fly: A Predictive Adversarial Transformation Network for Mobile Sensor Data
• 论文链接: https://arxiv.org/abs/2511.07242
• 代码链接: https://github.com/skysky4/PATN

问题定义

尽管现有隐私保护方法在传感器数据处理上已有成果，但仍存在显著局限。数据混淆和生成模型通常需缓存完整序列，难以满足实时防护需求；大多数对抗攻击方法假设可访问完整序列并按固定时间线生成扰动，而实际攻击可能随时发生，导致扰动与攻击错位，降低防护效果。由此可归纳出两大关键问题：

1.实时扰动生成：如何在数据产生的瞬间生成未来方向的扰动，确保隐私防护能够零时延、连续地生效，而无需等待完整序列。

2.防御与攻击的时间错位：如何保证在攻击时间与防御扰动存在偏移的情况下，扰动仍能有效覆盖目标窗口，实现持续可靠的隐私保护。

技术方法 - PATN

PATN 假设可访问开源隐私推断模型及其梯度，并利用历史传感器数据预测未来扰动，使其在最大程度干扰隐私推断的同时保持数据语义稳定。系统包含两部分：训练阶段，通过对抗效果、时间鲁棒性和平滑正则化三类损失联合优化，实现隐私保护与数据保真的平衡；设备端部署，将训练后的网络以本地方式运行，实现零时延扰动生成，从而满足实时传感器流的即时防护需求。

扰动范围：为避免扰动破坏传感器数据语义，作者对每个传感器维度的扰动幅度进行了严格限制。扰动被约束在该维度均值或标准差 5% 的范围内，确保其相对于原始信号足够微小。同时，在静态条件下测量了设备的自然传感器波动，将其作为额外的上限约束。最终，每个维度的扰动幅度取数据统计范围与自然波动范围的较小值，使扰动始终保持在用户难以察觉的正常噪声水平内。

基于历史数据的扰动生成模型：模型仅使用过去的传感器序列预测未来序列的对抗扰动，使系统在数据到达前即可提前构建防护，实现零未来依赖的实时隐私保护。模型采用序列到序列结构，由 LSTM 编码器和解码器组成。编码器提取历史序列的时序模式，将近期用户传感器动态压缩为潜在表示。解码器在不访问未来数据的情况下，自回归生成未来扰动序列：每个时间步既依赖编码器的潜在表示，也继承前一步输出，保证扰动在时间维度的连贯性。生成的扰动向量与传感器维度一一对应，可直接作用于未来数据流。

历史感知 top-k 优化策略：该策略将上一轮扰动与当前扰动拼接成新的长序列，并将其叠加到输入信号上，通过滑动窗口生成多个时间序列片段并计算对应的对抗损失，并从所有窗口损失中选取前 k 个最高值并取平均作为优化目标，使模型重点提升在 “最难防护” 的时间区域的攻击效果。通过该策略，使生成的扰动在时间上更加一致，并能在任意攻击窗口下保持稳定的隐私防护能力。

实验结果

作者在两个移动设备传感器数据集上全面评估了 PATN 的隐私保护性能。MotionSense 数据集包含用户在六种日常活动（走路、跳跃、坐、站立、上楼、下楼）下的加速度计和陀螺仪数据；ChildShield 数据集收集了用户在五类不同游戏场景下的加速度计和陀螺仪数据。隐私对抗模型采用卷积神经网络进行评估。

性能：对比现有的基线方法，在实时保护性能方面，PATN 明显优于传统方法。DP、UAP 等固定扰动策略以及 FGSM、PGD 等对抗攻击方法，均无法针对连续到达的实时传感器数据进行动态防护，且缺乏对未来数据的适应能力。PATN 通过历史数据预测生成扰动，实现零时延施加，同时保持数据的语义与时序结构，能够在连续数据流中持续有效地干扰隐私推断模型。

数据可用性：在数据可用性方面，PATN 同样优于现有方法（PrivDiffuser）。结果表明，在行为识别和步态检测等下游任务中，使用 PATN 扰动后的传感器数据几乎不影响任务性能，而 PrivDiffuser 会引入较大信号扭曲，从而降低下游任务精度。PATN 通过严格控制扰动幅度，既有效隐藏敏感信息，又保证数据在良性任务的可用性，实现隐私保护与应用性能的兼顾。

迁移性：在可迁移性方面，PATN 展现出良好的泛化能力和时间适应性。固定输出长度生成的扰动即可有效攻击不同输入长度的黑盒模型，无需针对每个模型重新优化。此外，面对结构完全不同的黑盒模型，PATN 依然维持较高的攻击成功率和 EER，证明其扰动对未知或更复杂模型同样稳健。

总结

本文提出了 PATN，一种基于历史数据的扰动生成框架，通过利用过去的传感器信号预测未来扰动，实现对实时数据的零延迟隐私保护，同时保持原始数据的时序与语义完整性。未来工作将拓展 PATN 在黑盒模型下的适用性，并覆盖更多敏感属性。