邯郸做网站价格不用vip的免费追剧软件
2026/2/21 4:48:15
电子创意设计网站网页设计html代码大全爱心
电子创意设计网站,网页设计html代码大全爱心,东莞网站模板,成都免费建网站公司来源#xff1a;机器之心本文第一作者郭鹏鑫#xff0c;香港大学博士生#xff0c;研究方向是联邦学习、大模型微调等。本文共同第一作者王润熙#xff0c;香港大学硕士生#xff0c;研究方法是联邦学习、隐私保护等。本文通讯作者屈靓琼#xff0c;香港大学助理教授机器之心本文第一作者郭鹏鑫香港大学博士生研究方向是联邦学习、大模型微调等。本文共同第一作者王润熙香港大学硕士生研究方法是联邦学习、隐私保护等。本文通讯作者屈靓琼香港大学助理教授研究方向包含 AI for Healthcare、AI for Science、联邦学习等 (个人主页https://liangqiong.github.io/)。联邦学习Federated Learning, FL本是隐私保护的「救星」却可能因梯度反转攻击Gradient Inversion Attacks, GIA而导致防线失守。近日香港大学、香港科技大学广州、南方科技大学、斯坦福大学、加州大学圣塔克鲁兹分校的研究团队合作在人工智能顶级期刊 IEEE TPAMI 上发表重磅工作对 GIA 进行了全方位的分类、理论分析与实验评测并提出了切实可行的防御指南。论文标题 Exploring the Vulnerabilities of Federated Learning: A Deep Dive into Gradient Inversion Attacks论文地址 https://ieeexplore.ieee.org/document/11311346项目主页 https://pengxin-guo.github.io/FLPrivacy/01 背景联邦学习真的安全吗联邦学习FL作为一种隐私保护的协同训练范式允许客户端在不共享原始数据的情况下共同训练模型。然而近年来的研究表明「不共享数据」并不等于 「绝对安全」。攻击者可以通过梯度反转攻击GIA仅凭共享的梯度信息就能重建出客户端的私有训练数据如人脸图像、医疗记录等。尽管学术界提出了许多 GIA 方法但一直缺乏对这些方法的系统性分类、深入的理论分析以及在大规模基准上的公平评测。为了填补这一空白本研究对 GIA 进行了抽丝剥茧般的深度剖析。02 方法分类GIA 的三大门派研究团队首先对现有的 GIA 方法进行了系统性梳理将其归纳为三大类1. 基于优化的攻击 (OP-GIA)原理通过迭代优化虚拟数据使其产生的梯度与真实梯度之间的距离最小化。代表作DLG、Inverting Gradients、GradInversion 等。2. 基于生成的攻击 (GEN-GIA)原理利用预训练的生成模型GAN 或 Diffusion Model作为先验来生成近似的输入数据。细分优化隐向量 z、优化生成器参数 W、或训练逆向生成模型。3. 基于分析的攻击 (ANA-GIA)原理利用全连接层或卷积层的线性特性通过解析解Closed-form直接恢复输入数据。特点通常需要恶意的服务器修改模型架构或参数。03 理论突破误差边界与梯度相似性不同于以往的经验性研究本文在理论层面做出了重要贡献Theorem 1误差边界分析首次从理论上证明了 OP-GIA 的重建误差与 Batch Size批量大小和图像分辨率的平方根呈线性关系。这意味着Batch Size 越大、分辨率越高攻击难度越大。Proposition 1梯度相似性命题揭示了模型训练状态对攻击的影响。如果不同数据的梯度越相似例如在模型训练后期攻击恢复数据的难度就越大。04 实验发现谁是真正的威胁研究团队在 CIFAR-10/100、ImageNet、CelebA 等数据集上针对不同攻击类型进行了广泛的实验涵盖 ResNet、ViT 以及 LoRA 微调场景。关键结论TakeawaysOP-GIA 最实用但受限多它是最实用的攻击设置无额外依赖但效果受限于 Batch Size 和分辨率。且在 Practical FedAvg多步本地训练场景下其威胁被大幅削弱。GEN-GIA 依赖重威胁小虽然能生成高质量图像但严重依赖预训练生成器、辅助数据集或特定的激活函数如 Sigmoid。如果目标模型不用 Sigmoid很多 GEN-GIA 方法会直接失效 。ANA-GIA 效果好易暴露通过修改模型架构或参数ANA-GIA 可以实现精准的数据恢复。但这种「做手脚」的行为非常容易被客户端检测到因此在实际中难以得逞 。PEFT (LoRA) 场景下的新发现在利用 LoRA 微调大模型时攻击者可以恢复低分辨率图像但在高分辨率图像上往往失败。且预训练模型越小隐私泄露风险越低 。05 防御指南三步走策略基于上述深入分析作者为联邦学习系统的设计者提出了一套「三阶段防御流水线」无需引入复杂的加密手段即可有效提升安全性 1. 网络设计阶段拒绝 Sigmoid避免使用 Sigmoid 激活函数易被 GEN-GIA 利用。增加复杂度采用更复杂的网络架构增加优化难度。2. 训练协议阶段增大 Batch Size根据理论分析大 Batch 能有效混淆梯度。多步本地训练采用 Practical FedAvg增加本地训练轮数破坏梯度的直接对应关系。3. 客户端校验阶段模型检查客户端在接收服务器下发的模型时应简单校验模型架构和参数防止被植入恶意模块防御 ANA-GIA。06 总结这项发表于 TPAMI 的工作不仅是对现有梯度反转攻击的一次全面体检更是一份实用的联邦学习安全避坑指南。它告诉我们虽然隐私泄露的风险真实存在但通过合理的设计和协议规范我们完全可以将风险控制在最低水平。更多细节欢迎查阅原论文阅读最新前沿科技趋势报告请访问欧米伽研究所的“未来知识库”https://wx.zsxq.com/group/454854145828未来知识库是“欧米伽未来研究所”建立的在线知识库平台收藏的资料范围包括人工智能、脑科学、互联网、超级智能数智大脑、能源、军事、经济、人类风险等等领域的前沿进展与未来趋势。目前拥有超过8000篇重要资料。每周更新不少于100篇世界范围最新研究资料。欢迎扫描二维码或访问https://wx.zsxq.com/group/454854145828进入。