聯邦學習不再安全？港大TPAMI新作：深挖梯度反轉攻擊的內幕

來源：機器之心

本文第一作者郭鵬鑫，香港大學博士生，研究方向是聯邦學習、大模型微調等。本文共同第一作者王潤熙，香港大學碩士生，研究方法是聯邦學習、隱私保護等。本文通訊作者屈靚瓊，香港大學助理教授，研究方向包含 AI for Healthcare、AI for Science、聯邦學習等 (個人主頁：https://liangqiong.github.io/)。

聯邦學習（Federated Learning, FL）本是隱私保護的「救星」，卻可能因梯度反轉攻擊（Gradient Inversion Attacks, GIA）而導致防線失守。

近日，香港大學、香港科技大學（廣州）、南方科技大學、斯坦福大學、加州大學圣塔克魯茲分校的研究團隊合作，在人工智能頂級期刊IEEE TPAMI上發表重磅工作，對 GIA 進行了全方位的分類、理論分析與實驗評測，并提出了切實可行的防御指南。

• 論文標題： Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks

• 論文地址： https://ieeexplore.ieee.org/document/11311346

• 項目主頁： https://pengxin-guo.github.io/FLPrivacy/

01 背景：聯邦學習真的安全嗎？

聯邦學習（FL）作為一種隱私保護的協同訓練范式，允許客戶端在不共享原始數據的情況下共同訓練模型。然而，近年來的研究表明，「不共享數據」并不等于 「絕對安全」。

攻擊者可以通過梯度反轉攻擊（GIA），僅憑共享的梯度信息就能重建出客戶端的私有訓練數據（如人臉圖像、醫療記錄等）。盡管學術界提出了許多 GIA 方法，但一直缺乏對這些方法的系統性分類、深入的理論分析以及在大規模基準上的公平評測。

為了填補這一空白，本研究對 GIA 進行了抽絲剝繭般的深度剖析。

02 方法分類：GIA 的三大門派

研究團隊首先對現有的 GIA 方法進行了系統性梳理，將其歸納為三大類：

1. 基于優化的攻擊 (OP-GIA)：

• 原理：通過迭代優化虛擬數據，使其產生的梯度與真實梯度之間的距離最小化。

• 代表作：DLG、Inverting Gradients、GradInversion 等。

2. 基于生成的攻擊 (GEN-GIA)：

• 原理：利用預訓練的生成模型（GAN 或 Diffusion Model）作為先驗，來生成近似的輸入數據。

• 細分：優化隱向量 z、優化生成器參數 W、或訓練逆向生成模型。

3. 基于分析的攻擊 (ANA-GIA)：

• 原理：利用全連接層或卷積層的線性特性，通過解析解（Closed-form）直接恢復輸入數據。

• 特點：通常需要惡意的服務器修改模型架構或參數。

03 理論突破：誤差邊界與梯度相似性

不同于以往的經驗性研究，本文在理論層面做出了重要貢獻：

• Theorem 1（誤差邊界分析）：首次從理論上證明了 OP-GIA 的重建誤差與Batch Size（批量大小）和圖像分辨率的平方根呈線性關系。這意味著，Batch Size 越大、分辨率越高，攻擊難度越大。

• Proposition 1（梯度相似性命題）：揭示了模型訓練狀態對攻擊的影響。如果不同數據的梯度越相似（例如在模型訓練后期），攻擊恢復數據的難度就越大。

04 實驗發現：誰是真正的威脅？

研究團隊在 CIFAR-10/100、ImageNet、CelebA 等數據集上，針對不同攻擊類型進行了廣泛的實驗（涵蓋 ResNet、ViT 以及 LoRA 微調場景）。

關鍵結論（Takeaways）：

• OP-GIA 最實用，但受限多：它是最實用的攻擊設置（無額外依賴），但效果受限于 Batch Size 和分辨率。且在Practical FedAvg（多步本地訓練）場景下，其威脅被大幅削弱。

• GEN-GIA 依賴重，威脅小：雖然能生成高質量圖像，但嚴重依賴預訓練生成器、輔助數據集或特定的激活函數（如 Sigmoid）。如果目標模型不用 Sigmoid，很多 GEN-GIA 方法會直接失效 。

• ANA-GIA 效果好，易暴露：通過修改模型架構或參數，ANA-GIA 可以實現精準的數據恢復。但這種「做手腳」的行為非常容易被客戶端檢測到，因此在實際中難以得逞 。

• PEFT (LoRA) 場景下的新發現：在利用 LoRA 微調大模型時，攻擊者可以恢復低分辨率圖像，但在高分辨率圖像上往往失敗。且預訓練模型越小，隱私泄露風險越低 。

05 防御指南：三步走策略

基于上述深入分析，作者為聯邦學習系統的設計者提出了一套「三階段防御流水線」，無需引入復雜的加密手段即可有效提升安全性 ：

1. 網絡設計階段：

• 拒絕 Sigmoid：避免使用 Sigmoid 激活函數（易被 GEN-GIA 利用）。

• 增加復雜度：采用更復雜的網絡架構，增加優化難度。

2. 訓練協議階段：

• 增大 Batch Size：根據理論分析，大 Batch 能有效混淆梯度。

• 多步本地訓練：采用 Practical FedAvg，增加本地訓練輪數，破壞梯度的直接對應關系。

3. 客戶端校驗階段：

• 模型檢查：客戶端在接收服務器下發的模型時，應簡單校驗模型架構和參數，防止被植入惡意模塊（防御 ANA-GIA）。

06 總結

這項發表于 TPAMI 的工作不僅是對現有梯度反轉攻擊的一次全面體檢，更是一份實用的聯邦學習安全避坑指南。它告訴我們：雖然隱私泄露的風險真實存在，但通過合理的設計和協議規范，我們完全可以將風險控制在最低水平。

更多細節，歡迎查閱原論文！

閱讀最新前沿科技趨勢報告，請訪問歐米伽研究所的“未來知識庫”

https://wx.zsxq.com/group/454854145828

未來知識庫是“ 歐米伽 未來研究所”建立的在線知識庫平臺，收藏的資料范圍包括人工智能、腦科學、互聯網、超級智能，數智大腦、能源、軍事、經濟、人類風險等等領域的前沿進展與未來趨勢。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進入。