跳到主要内容

2 篇文档带有标签「梯度泄露」

查看所有标签

安全聚合:让服务器只看到「所有人更新的和」,看不到任何单个更新

一句话摘要:《梯度泄露》证明「只共享单个更新」会被反演。安全聚合(Bonawitz 等,ACM CCS 2017)是直接的防御:用安全多方计算让服务器只能算出「所有客户端更新的和」、看不到任何单个更新——单点被藏起来,反演就失去了支点。它通信高效、对客户端掉线鲁棒,并已用于 Google 的生产 FL(Bonawitz 等,MLSys 2019:让单设备更新即便在数据中心内存里也保持加密)。结论先行:安全聚合把「服务器=可信」降级成「服务器只见聚合和」;但它不是万能——防的是「看到单个更新」,不防「聚合和本身泄露」或「参与方串通」,仍要配 DP。

梯度泄露:联邦学习「只共享梯度不共享数据」挡不住反演——梯度能被还原成训练样本

一句话摘要:联邦学习常被说成「只共享梯度 / 更新、不共享原始数据,所以隐私」。但 Deep Leakage from Gradients(Zhu 等,NeurIPS 2019)证明:从共享的梯度可以反演出原始训练样本——图像逐像素、文本逐 token 匹配,核心算法不到 20 行。Geiping 等(NeurIPS 2020)进一步在高分辨率、已训练好的网络上做到,且对多步 / 多样本平均的梯度也能破。结论先行:「共享梯度」不等于「私有」;FL 要靠安全聚合 + DP 才有实质保证,别把「没传原始数据」当隐私。