跳到主要内容

4 篇文档带有标签「联邦学习」

查看所有标签

安全聚合:让服务器只看到「所有人更新的和」,看不到任何单个更新

一句话摘要:《梯度泄露》证明「只共享单个更新」会被反演。安全聚合(Bonawitz 等,ACM CCS 2017)是直接的防御:用安全多方计算让服务器只能算出「所有客户端更新的和」、看不到任何单个更新——单点被藏起来,反演就失去了支点。它通信高效、对客户端掉线鲁棒,并已用于 Google 的生产 FL(Bonawitz 等,MLSys 2019:让单设备更新即便在数据中心内存里也保持加密)。结论先行:安全聚合把「服务器=可信」降级成「服务器只见聚合和」;但它不是万能——防的是「看到单个更新」,不防「聚合和本身泄露」或「参与方串通」,仍要配 DP。

拆分学习泄露:把模型切两半「原始数据留在本地」,服务器仍能从中间激活重建你的输入

一句话摘要:拆分学习把模型从某层切成两半——客户端跑前几层、把中间激活(smashed data)发给服务器跑剩下的——常被说成「原始数据不出本地,所以隐私」。结论先行:这不等于私有。Feature-Space Hijacking Attack(Pasquini 等,CCS 2021)证明,恶意服务器能主动把拆分模型引导进不安全状态,从中间激活重建出客户端的私有训练输入(在 MNIST / Omniglot / CelebA 上重建图像);UnSplit(Erdoğan 等,WPES@CCS 2022)更表明连诚实但好奇的服务器——只知客户端结构、不需主动干预——也能反演(MNIST / Fashion-MNIST / CIFAR-10 上重建 MSE ≈ 0.08–0.15)。别把「没传原始像素」当隐私。

梯度泄露:联邦学习「只共享梯度不共享数据」挡不住反演——梯度能被还原成训练样本

一句话摘要:联邦学习常被说成「只共享梯度 / 更新、不共享原始数据,所以隐私」。但 Deep Leakage from Gradients(Zhu 等,NeurIPS 2019)证明:从共享的梯度可以反演出原始训练样本——图像逐像素、文本逐 token 匹配,核心算法不到 20 行。Geiping 等(NeurIPS 2020)进一步在高分辨率、已训练好的网络上做到,且对多步 / 多样本平均的梯度也能破。结论先行:「共享梯度」不等于「私有」;FL 要靠安全聚合 + DP 才有实质保证,别把「没传原始数据」当隐私。

生产级 DP·FL 部署:数据不离设备只是起点,更新会泄露、所以要叠 DP + 安全聚合

一句话摘要:联邦学习(FL)让模型在大量设备上训练、原始数据不离设备,只上传模型更新。但「数据不出设备」只是起点——更新本身会泄露(能反推训练数据)。所以生产级要叠:DP(限制单设备 / 用户对模型的影响)+ 安全聚合(服务器只看到多设备更新之和、看不到单个)。真实落地:Gboard 用 FL + DP-FTRL 训了二十多个带 DP 保证的语言模型;Apple 用本地 DP 收 emoji / 输入法等遥测。要点:FL ≠ 私有、本地 DP 的 ε 要看清、用户级 vs 样本级别错配。这是卷三《DP 微调》在「联邦 + 大规模生产」上的落地面。