跳到主要内容

4 篇文档带有标签「安全聚合」

查看所有标签

安全聚合:让服务器只看到「所有人更新的和」,看不到任何单个更新

一句话摘要:《梯度泄露》证明「只共享单个更新」会被反演。安全聚合(Bonawitz 等,ACM CCS 2017)是直接的防御:用安全多方计算让服务器只能算出「所有客户端更新的和」、看不到任何单个更新——单点被藏起来,反演就失去了支点。它通信高效、对客户端掉线鲁棒,并已用于 Google 的生产 FL(Bonawitz 等,MLSys 2019:让单设备更新即便在数据中心内存里也保持加密)。结论先行:安全聚合把「服务器=可信」降级成「服务器只见聚合和」;但它不是万能——防的是「看到单个更新」,不防「聚合和本身泄露」或「参与方串通」,仍要配 DP。

梯度泄露:联邦学习「只共享梯度不共享数据」挡不住反演——梯度能被还原成训练样本

一句话摘要:联邦学习常被说成「只共享梯度 / 更新、不共享原始数据,所以隐私」。但 Deep Leakage from Gradients(Zhu 等,NeurIPS 2019)证明:从共享的梯度可以反演出原始训练样本——图像逐像素、文本逐 token 匹配,核心算法不到 20 行。Geiping 等(NeurIPS 2020)进一步在高分辨率、已训练好的网络上做到,且对多步 / 多样本平均的梯度也能破。结论先行:「共享梯度」不等于「私有」;FL 要靠安全聚合 + DP 才有实质保证,别把「没传原始数据」当隐私。

生产级 DP·FL 部署:数据不离设备只是起点,更新会泄露、所以要叠 DP + 安全聚合

一句话摘要:联邦学习(FL)让模型在大量设备上训练、原始数据不离设备,只上传模型更新。但「数据不出设备」只是起点——更新本身会泄露(能反推训练数据)。所以生产级要叠:DP(限制单设备 / 用户对模型的影响)+ 安全聚合(服务器只看到多设备更新之和、看不到单个)。真实落地:Gboard 用 FL + DP-FTRL 训了二十多个带 DP 保证的语言模型;Apple 用本地 DP 收 emoji / 输入法等遥测。要点:FL ≠ 私有、本地 DP 的 ε 要看清、用户级 vs 样本级别错配。这是卷三《DP 微调》在「联邦 + 大规模生产」上的落地面。

联邦分析:只算「统计量」不集中原始数据——但保证仍系于 DP + 安全聚合

一句话摘要:联邦分析(federated analytics)是「不集中原始数据、只把统计量带出设备」的一类数据科学方法——设备各自在本地数据上算局部量,靠安全聚合让服务器只看到合并后的总数、看不到任何单台设备的明细(Ramage & Mazzocchi, Google Research, 2020);要发现「最频繁项」(heavy hitters)这类统计还要叠差分隐私(Zhu, Kairouz 等, AISTATS 2020;Bassily 等, NeurIPS 2017)。它和联邦学习是兄弟:那是训模型,这是算统计量。已落地:Google Pixel 的「Now Playing」歌曲流行度计数、Apple 的热门 emoji / 域名遥测都是生产用例。结论先行:「联邦」二字不自动等于私有——数据留本地只是起点,真正的隐私保证系于 DP 与安全聚合是否真做对;少了任一层,聚合结果与多轮查询仍会把个体抖出来。