來源：機(jī)器之心

本文第一作者郭鵬鑫，香港大學(xué)博士生，研究方向是聯(lián)邦學(xué)習(xí)、大模型微調(diào)等。本文共同第一作者王潤熙，香港大學(xué)碩士生，研究方法是聯(lián)邦學(xué)習(xí)、隱私保護(hù)等。本文通訊作者屈靚瓊，香港大學(xué)助理教授，研究方向包含 AI for Healthcare、AI for Science、聯(lián)邦學(xué)習(xí)等 (個(gè)人主頁：https://liangqiong.github.io/)。

聯(lián)邦學(xué)習(xí)（Federated Learning, FL）本是隱私保護(hù)的「救星」，卻可能因梯度反轉(zhuǎn)攻擊（Gradient Inversion Attacks, GIA）而導(dǎo)致防線失守。

近日，香港大學(xué)、香港科技大學(xué)（廣州）、南方科技大學(xué)、斯坦福大學(xué)、加州大學(xué)圣塔克魯茲分校的研究團(tuán)隊(duì)合作，在人工智能頂級(jí)期刊IEEE TPAMI上發(fā)表重磅工作，對(duì) GIA 進(jìn)行了全方位的分類、理論分析與實(shí)驗(yàn)評(píng)測，并提出了切實(shí)可行的防御指南。

• 論文標(biāo)題： Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks

• 論文地址： https://ieeexplore.ieee.org/document/11311346

• 項(xiàng)目主頁： https://pengxin-guo.github.io/FLPrivacy/

01 背景：聯(lián)邦學(xué)習(xí)真的安全嗎？

聯(lián)邦學(xué)習(xí)（FL）作為一種隱私保護(hù)的協(xié)同訓(xùn)練范式，允許客戶端在不共享原始數(shù)據(jù)的情況下共同訓(xùn)練模型。然而，近年來的研究表明，「不共享數(shù)據(jù)」并不等于 「絕對(duì)安全」。

攻擊者可以通過梯度反轉(zhuǎn)攻擊（GIA），僅憑共享的梯度信息就能重建出客戶端的私有訓(xùn)練數(shù)據(jù)（如人臉圖像、醫(yī)療記錄等）。盡管學(xué)術(shù)界提出了許多 GIA 方法，但一直缺乏對(duì)這些方法的系統(tǒng)性分類、深入的理論分析以及在大規(guī)?；鶞?zhǔn)上的公平評(píng)測。

為了填補(bǔ)這一空白，本研究對(duì) GIA 進(jìn)行了抽絲剝繭般的深度剖析。

02 方法分類：GIA 的三大門派

研究團(tuán)隊(duì)首先對(duì)現(xiàn)有的 GIA 方法進(jìn)行了系統(tǒng)性梳理，將其歸納為三大類：

1. 基于優(yōu)化的攻擊 (OP-GIA)：

• 原理：通過迭代優(yōu)化虛擬數(shù)據(jù)，使其產(chǎn)生的梯度與真實(shí)梯度之間的距離最小化。

• 代表作：DLG、Inverting Gradients、GradInversion 等。

2. 基于生成的攻擊 (GEN-GIA)：

• 原理：利用預(yù)訓(xùn)練的生成模型（GAN 或 Diffusion Model）作為先驗(yàn)，來生成近似的輸入數(shù)據(jù)。

• 細(xì)分：優(yōu)化隱向量 z、優(yōu)化生成器參數(shù) W、或訓(xùn)練逆向生成模型。

3. 基于分析的攻擊 (ANA-GIA)：

• 原理：利用全連接層或卷積層的線性特性，通過解析解（Closed-form）直接恢復(fù)輸入數(shù)據(jù)。

• 特點(diǎn)：通常需要惡意的服務(wù)器修改模型架構(gòu)或參數(shù)。

03 理論突破：誤差邊界與梯度相似性

不同于以往的經(jīng)驗(yàn)性研究，本文在理論層面做出了重要貢獻(xiàn)：

• Theorem 1（誤差邊界分析）：首次從理論上證明了 OP-GIA 的重建誤差與Batch Size（批量大?。┖蛨D像分辨率的平方根呈線性關(guān)系。這意味著，Batch Size 越大、分辨率越高，攻擊難度越大。

• Proposition 1（梯度相似性命題）：揭示了模型訓(xùn)練狀態(tài)對(duì)攻擊的影響。如果不同數(shù)據(jù)的梯度越相似（例如在模型訓(xùn)練后期），攻擊恢復(fù)數(shù)據(jù)的難度就越大。

04 實(shí)驗(yàn)發(fā)現(xiàn)：誰是真正的威脅？

研究團(tuán)隊(duì)在 CIFAR-10/100、ImageNet、CelebA 等數(shù)據(jù)集上，針對(duì)不同攻擊類型進(jìn)行了廣泛的實(shí)驗(yàn)（涵蓋 ResNet、ViT 以及 LoRA 微調(diào)場景）。

關(guān)鍵結(jié)論（Takeaways）：

• OP-GIA 最實(shí)用，但受限多：它是最實(shí)用的攻擊設(shè)置（無額外依賴），但效果受限于 Batch Size 和分辨率。且在Practical FedAvg（多步本地訓(xùn)練）場景下，其威脅被大幅削弱。

• GEN-GIA 依賴重，威脅小：雖然能生成高質(zhì)量圖像，但嚴(yán)重依賴預(yù)訓(xùn)練生成器、輔助數(shù)據(jù)集或特定的激活函數(shù)（如 Sigmoid）。如果目標(biāo)模型不用 Sigmoid，很多 GEN-GIA 方法會(huì)直接失效 。

• ANA-GIA 效果好，易暴露：通過修改模型架構(gòu)或參數(shù)，ANA-GIA 可以實(shí)現(xiàn)精準(zhǔn)的數(shù)據(jù)恢復(fù)。但這種「做手腳」的行為非常容易被客戶端檢測到，因此在實(shí)際中難以得逞 。

• PEFT (LoRA) 場景下的新發(fā)現(xiàn)：在利用 LoRA 微調(diào)大模型時(shí)，攻擊者可以恢復(fù)低分辨率圖像，但在高分辨率圖像上往往失敗。且預(yù)訓(xùn)練模型越小，隱私泄露風(fēng)險(xiǎn)越低 。

05 防御指南：三步走策略

基于上述深入分析，作者為聯(lián)邦學(xué)習(xí)系統(tǒng)的設(shè)計(jì)者提出了一套「三階段防御流水線」，無需引入復(fù)雜的加密手段即可有效提升安全性 ：

1. 網(wǎng)絡(luò)設(shè)計(jì)階段：

• 拒絕 Sigmoid：避免使用 Sigmoid 激活函數(shù)（易被 GEN-GIA 利用）。

• 增加復(fù)雜度：采用更復(fù)雜的網(wǎng)絡(luò)架構(gòu)，增加優(yōu)化難度。

2. 訓(xùn)練協(xié)議階段：

• 增大 Batch Size：根據(jù)理論分析，大 Batch 能有效混淆梯度。

• 多步本地訓(xùn)練：采用 Practical FedAvg，增加本地訓(xùn)練輪數(shù)，破壞梯度的直接對(duì)應(yīng)關(guān)系。

3. 客戶端校驗(yàn)階段：

• 模型檢查：客戶端在接收服務(wù)器下發(fā)的模型時(shí)，應(yīng)簡單校驗(yàn)?zāi)Ｐ图軜?gòu)和參數(shù)，防止被植入惡意模塊（防御 ANA-GIA）。

06 總結(jié)

這項(xiàng)發(fā)表于 TPAMI 的工作不僅是對(duì)現(xiàn)有梯度反轉(zhuǎn)攻擊的一次全面體檢，更是一份實(shí)用的聯(lián)邦學(xué)習(xí)安全避坑指南。它告訴我們：雖然隱私泄露的風(fēng)險(xiǎn)真實(shí)存在，但通過合理的設(shè)計(jì)和協(xié)議規(guī)范，我們完全可以將風(fēng)險(xiǎn)控制在最低水平。

更多細(xì)節(jié)，歡迎查閱原論文！

閱讀最新前沿科技趨勢(shì)報(bào)告，請(qǐng)?jiān)L問歐米伽研究所的“未來知識(shí)庫”

https://wx.zsxq.com/group/454854145828

未來知識(shí)庫是“ 歐米伽 未來研究所”建立的在線知識(shí)庫平臺(tái)，收藏的資料范圍包括人工智能、腦科學(xué)、互聯(lián)網(wǎng)、超級(jí)智能，數(shù)智大腦、能源、軍事、經(jīng)濟(jì)、人類風(fēng)險(xiǎn)等等領(lǐng)域的前沿進(jìn)展與未來趨勢(shì)。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進(jìn)入。