该论文提出了一种名为FedRAG的高效且隐私保护的联邦检索增强生成（RAG）框架，旨在解决跨机构协作中严格隐私法规导致的“数据孤岛”问题。传统RAG通过外部知识增强大语言模型，跨机构集成需要分布式推理，但Transformer的自注意力机制要求跨节点访问分布式键值缓存，这与隐私保护需求存在根本冲突。现有加密方案（如同态加密、安全多方计算）会带来巨大的延迟和通信开销。FedRAG的核心创新是Scrambled Distributed Attention协议，该协议利用数值稳定的特征混淆（feature scrambling）和令牌排列（token permutation），通过将混淆后的计算动态委托给协作节点，在无需暴露明文数据的前提下解耦注意力执行与数据本地化。该方法不需要专门硬件或模型重训练，同时能稳健防御中间状态反转攻击。实验评估表明，FedRAG在保持模型效用损失小于0.1%的前提下，相比现有安全基线实现了高达62倍的延迟降低，足以支持实际跨机构知识协同的人类可读吞吐量。该框架适用于金融、医疗等对数据隐私要求严格的领域，使得多个机构可以安全地共享领域知识库以提升模型回答的准确性和时效性。

本文研究了在共享全局上限的解码时（decode-time）场景下，多种KV缓存逐出策略（LRU, H2O, SnapKV, StreamingLLM, Ada-KV, QUEST, Random）的表现。作者发现，这些策略存在一个共同的漏洞：缺乏结构保护（structural protection）时，在六个纯Transformer模型上性能几乎崩溃（F1≤0.064）。通过在每次边界保留10%的缓存，在7个LongBench模型上，缓存上限C=256（仅保留13%的缓存）时恢复了69-90%的参考上限（C=2048）质量；在十个模型面板上恢复68-98%。注意力质量实验（Qwen2.5-3B, N=30）揭示了原因：位置0的sink token持有约75%的prefix质量，而其他边界token接近均匀期望的0.41倍，因此注意力评分器会保留sink token，但仍会丢弃结构上关键的token。有了保护，简化的评分隔离变体在K=32时与LRU等效（Δ=0.02），在K=8时注意力策略彼此收敛但在C=256和C=512时仍比LRU高0.011-0.021 F1。忠实实现的Ada-KV/QUEST在Mistral-7B和Phi-3.5上比简化变体额外提升约0.03-0.04 F1。在NIAH-32K长上下文场景（Qwen3-4B, C∈{512,2048}）下，保护提升效果几乎相同（比率0.99-1.00）。在64K长度时，保护有帮助但恢复有限；仅在模型本身无需逐出即可支持强64K检索时，忠实每头评分才能在6.3%保留率下匹配全缓存上限（Gemma-3-4B）。总体结论：结构保护占主导地位；一旦边界得到保护，评分差异是次要的；每头分配带来额外的适度提升。该研究揭示了当前缓存逐出策略的脆弱性，并强调了保护prompt边界的重要性，对LLM推理效率与质量平衡有重要指导意义。