本文研究了联邦排序学习（Federated Ranking Learning, FRL）的鲁棒性问题。FRL是一种先进的联邦学习框架，其特点是通信效率高且对投毒攻击具有韧性。与传统联邦学习不同，FRL采用离散排名而非梯度更新，从而大幅降低通信成本并限制恶意更新的空间；同时，服务端通过多数投票机制确定全局排名，每个客户端仅贡献一票，因此单个更新的影响极小。然而，作者通过理论分析证明，FRL并非固有鲁棒，某些边（即模型中的特定权重连接）对投毒攻击特别脆弱。他们推导了每个层中识别这些脆弱边的下界和上界，并提出了一种针对FRL的新型本地模型投毒攻击——脆弱边操纵（Vulnerable Edge Manipulation, VEM）攻击。该攻击通过识别并扰动每层中最脆弱的边，并利用优化方法最大化攻击效果。在基准数据集上的大量实验表明，VEM攻击达到了53.23%的整体攻击影响，且影响效果是现有方法的3.7倍。该工作揭示了基于排名的联邦学习系统中存在的显著漏洞，并强调了开发新型鲁棒联邦学习框架的紧迫性。适合对联邦学习安全、投毒攻击防御感兴趣的研究人员阅读。

该论文研究联邦学习（FL）下基于大型语言模型（LLM）的问答（QA）系统中的后门攻击。在联邦学习中，多个客户端本地训练模型，然后由中央服务器聚合更新。传统后门攻击需要攻击者控制客户端或访问训练数据，但本文考虑一个更危险的场景：恶意聚合服务器（例如云服务提供商）与第三方供应商合谋，在完全不接触客户端数据的情况下，悄无声息地将广告类后门植入联邦QA模型中。攻击者的双重目标是：（1）保持正常查询的问答质量，即带毒模型在非触发查询上表现与干净模型无异；（2）当输入中出现特定触发词时，模型生成高度自然、上下文相关的回复，其中包含目标广告。实现这两个目标极具挑战性，因为缺乏私有数据知识，简单的后门注入可能降低模型正常性能或无法成功植入后门。为此，作者利用训练过程中客户端上传的梯度，提出一种无数据且隐蔽的两阶段投毒框架：第一阶段，从客户端梯度中恢复代表性训练样本；第二阶段，利用恢复的样本和触发短语构建投毒数据集，从而将后门注入全局模型。在多个代表性QA数据集和LLM家族（包括全微调和LoRA设置）上的实验表明，该方法在几乎不影响正常任务性能的前提下，实现了接近100%的攻击成功率（ASR）。关键的是，仅需重构5-20%的梯度就足以发动可靠攻击，暴露了联邦QA LLM训练流程中的一个实际盲点。该研究揭示了联邦学习在LLM场景下的新安全威胁，并呼吁设计更鲁棒的聚合算法和异常检测机制。

该论文提出了一种基于联邦学习（FL）的分布式分类器，用于检测包含敏感内容（如健康、政治信仰、性取向等类别）的URL。传统的集中式分类器存在隐私风险和数据集中问题，而联邦学习允许在本地数据上训练模型，仅共享模型更新，从而保护用户隐私。然而，联邦学习容易受到恶意用户的投毒攻击，他们可能通过传播错误的模型更新来降低良性用户的分类准确性。为此，论文开发了一种结合主观逻辑和基于残差的攻击检测的稳健聚合方案。通过理论分析、轨迹驱动模拟以及原型和真实用户的实验验证，结果表明该分类器能够高精度地检测敏感内容，快速学习新标签，并且对恶意用户的投毒攻击以及非恶意用户的不完美输入均保持鲁棒性。该方法在保护隐私的同时提高了系统的安全性和可靠性，适用于需要大规模内容审核的场景。

本文提出了一种联邦哈希投影潜在因子学习模型（FHPLF），旨在解决传统哈希学习（HL）需要集中存储用户数据引发的隐私问题，以及联邦学习（FL）中传输实值梯度导致的高通信开销和隐私风险。FHPLF 通过三个关键创新实现隐私保护与性能平衡：1）用二值梯度类矩阵替代实值梯度矩阵，显著降低计算、存储和通信成本，同时增强隐私保护；2）采用投影汉明距离进行相似度建模，捕捉每个二进制位的权重，提升二进制编码的表示能力；3）提出安全二值梯度重组与隐私增强上传策略（SBG-PEU），进一步降低传输过程中用户交互泄漏的风险。在四个真实数据集上的实验表明，FHPLF 在准确率、效率和隐私保护之间取得了优于现有哈希学习和联邦学习方法的平衡。

本文研究联邦学习中的语义驱动后门攻击机制，重点探讨触发器颜色对攻击成功率的影响。联邦学习易受到后门攻击，恶意客户端注入中毒更新同时保持良性任务性能。现有研究多关注触发器形状、位置等，而本文系统性地分析了触发器颜色这一因素。攻击者使用自然视觉配件（如口罩、太阳镜）作为语义触发器，仅改变触发器颜色（黑/白），保持攻击管线固定。恶意客户端通过将触发器应用到源类别图像并重新标记为目标类别来构建中毒样本，良性客户端仅使用干净数据训练。此外，还比较了标准中毒目标和更强的SABLE目标（结合干净分类损失、触发目标损失、特征分离损失和正则化），以减少更新漂移。实验基于CelebA数据集上的四分类发色任务（金发、黑发等），结果表明：即使触发器语义、位置和中毒预算不变，触发器颜色显著改变攻击成功率。白色触发器对针对金发类别的攻击更有效，黑色触发器对针对黑发类别的攻击更有效。这一趋势在鲁棒聚合下依然存在。论文贡献在于揭示了触发器颜色作为一个被忽视的重要因素，影响语义后门攻击的有效性和持久性，为联邦学习安全评估提供了新视角。适合联邦学习安全研究人员、后门防御设计者阅读。

本文提出了一种名为 TL++ 的双模式遍历学习框架，旨在解决分布式智能系统在数据孤岛下训练时的准确性与隐私保护问题。传统的联邦学习虽然保持数据本地化，但在异构分区下性能下降且需要反复交换完整模型；拆分学习通过切割层激活值减少通信，但通常无法恢复集中式小批量梯度行为，且可能以明文暴露激活值和梯度。TL++ 包含两种模式：基础模式仅交换切割层激活值和梯度而非完整模型，显著降低通信开销；安全模式通过秘密共享将每个切割层激活值和梯度在编排器与非共谋辅助服务器之间分割，防止任一服务器观察到明文切割层张量，但此保护限于半诚实两服务器设置，且标签和损失相关输出对编排器可见。在轻量级安全路径中，线性或仿射服务器路径可实现精确性，非线性操作需借助非线性 MPC 或近似。论文在 CIFAR-10 和 BioGPT/PubMedQA 数据集上使用全微调和 LoRA 方法评估，与联邦学习和拆分学习基线对比。结果表明，TL++ 基础模式切割层1和精确安全模式切割层3在 CIFAR-10 上分别达到 91.41% 和 90.93% 的准确率，超过最强非 TL++ 基线 12 个百分点以上；基础模式每步通信量相比完整模型同步减少 13.1 倍。PubMedQA 结果同样支持 TL++ 优势。总体而言，TL++ 接近集中式训练性能，同时减少通信并提供激活层秘密共享的隐私保护。

本文针对联邦学习场景中数据去重面临的隐私和可扩展性挑战，提出了一种高效隐私保护的多方去重协议 EP-MPD。在联邦学习中，不同客户端的数据可能存在重复样本，去除这些重复能提升模型性能并节省训练时间与能耗。然而，传统去重需要聚合各方数据，会泄露隐私。EP-MPD 基于两个新颖的私有集合交集（PSI）协议变体构建，采用模块化设计，能够在多个客户端数据集上安全高效地移除重复数据，而无需暴露原始数据。实验表明，在大型语言模型的联邦训练中，当重复率在 10%-30% 时，应用 EP-MPD 可使困惑度（perplexity）最多降低 19.62%，运行时间最多减少 27.95%。该协议在隐私和性能之间取得了良好平衡，适用于大规模联邦学习应用。本文的主要贡献包括：首次针对联邦学习提出隐私保护去重协议，设计两种高效的 PSI 变体，并通过实验验证了去重对联邦 LLM 训练的显著收益。适合隐私保护机器学习、联邦学习及大模型训练领域的研究者和工程师阅读。

在联邦学习（FL）中，隐私保护训练面临计算开销与安全性之间的权衡。现有全加密方案（如同态加密）虽能保护数据，但计算成本过高，难以部署。本文提出HADES框架，一种选择性特征加密与混合模型融合的隐私保护联邦学习方法。核心思想是：并非加密所有数据，而是通过主成分分析（PCA）识别出对隐私最敏感的特征子集，仅对这些特征进行多方同态加密（MHE），其余特征和对应模型部分保持明文。HADES包含两个并行的训练管道：加密管道处理敏感特征，明文管道处理非敏感特征，最后通过融合机制将两个管道输出的表示无缝整合，实现端到端训练。此外，作者提出一种通用打包方案，考虑整个神经网络架构，消除冗余旋转操作，提升计算效率。实验表明，HADES在保持与普通FL相同准确率的同时，显著降低了重建攻击的成功率，并优化了运行时间。该工作适合对联邦学习隐私保护、同态加密优化感兴趣的研究人员和工程师阅读，尤其适用于医疗、金融等特征高度敏感的场景。

联邦学习（FL）因其在本地训练模型并保护隐私的能力而在各行业广泛流行。然而，FL系统容易受到隐私推断攻击和投毒攻击，这两类攻击可能由恶意参与者破坏系统。尽管已有大量工作分别应对这些攻击，但对两者组合攻击的研究关注有限。为填补这一空白，本文提出了SafeFL，一个基于安全多方计算（MPC）的框架，旨在评估FL技术在同时应对隐私推断和投毒攻击方面的有效性。SafeFL的核心是一个通信器接口，使得基于PyTorch的实现能够利用成熟的MP-SPDZ框架，后者实现了多种MPC协议。SafeFL的目标是促进开发更高效的FL系统，以有效应对隐私推断和投毒攻击。该框架为研究人员和从业者提供了一个评估平台，以测试不同防御机制的鲁棒性。

该论文提出了一种名为PentaGOD的五方图异常检测方法，旨在超越传统的图异常检测（GOD）范式。研究背景中，现有图异常检测方法通常仅依赖单一视角或少数几方数据，难以应对复杂场景下的协作需求。本文通过引入五方协作机制，设计了一种新的图异常检测框架，可能涉及分布式计算、隐私保护或联邦学习等特性。由于仅提供标题和作者，缺乏具体摘要内容，无法详细描述技术细节和实验验证。该方法理论上适用于需要多方数据共享且保护隐私的异常检测场景，如金融欺诈检测、网络安全威胁分析等。论文适合对图学习、多方安全计算及异常检测领域的研究者和工程师阅读。但受限于信息，确切贡献仍需阅读原文确认。

随着物联网设备的普及，分布式边缘系统开始大规模收集敏感数据，为设备端机器学习提供了应用场景。联邦学习（FL）通过仅传输模型参数而不交换原始数据，在一定程度上缓解了隐私泄露风险。然而，当前研究忽视了一个关键盲点：在个性化联邦学习（PFL）场景中，客户端各自维护私有模型以应对数据异质性，但这种个性化机制反而使得系统更容易受到基于迁移的对抗性攻击。本文首先系统分析了多种主流PFL方法，发现相较于集中式学习，PFL在对抗样本转置攻击下表现出显著更高的脆弱性：恶意客户端可利用本地模型知识构造对抗样本，进而攻击其他对等客户端的个性化模型。作者通过理论分析并在多个基准数据集（如CIFAR-10、MNIST等）上进行实证评估，验证了该脆弱性，结果显示各PFL方法的准确率均大幅下降。为应对这一挑战，论文提出了一种协同防御框架，具体包括：（1）在输入层注入随机噪声，以破坏对抗扰动的有效性；（2）引入输入缩放迹正则化，约束模型更新方向；（3）最大化参数敏感度，增强模型对微小扰动的鲁棒性。实验证明，该框架能有效恢复模型精度，平衡隐私与安全性。这项工作首次对PFL系统中的对抗威胁进行了系统性研究，既揭示了安全隐患，也提供了实用的诊断工具与防御手段，适合联邦学习、分布式机器学习及安全领域的从业者阅读。

联邦学习（FL）允许多方协作训练模型而不共享原始数据，但分布式特性使其易受后门攻击——恶意客户端在本地训练数据中嵌入隐藏触发器，操纵模型预测。现有防御主要在聚合前或聚合中生效，无法完全消除收敛后全局模型中残留的后门行为。此外，服务器在训练后缺乏触发器模式或恶意客户端的信息，导致后门残留或正常准确率下降。为此，本文提出SCRUB-FL（通过遗忘后门来净化和清洗表示），一种两阶段后门清除方案。训练阶段：客户端使用频谱分析和激活聚类识别可疑样本，然后训练轻量级WGAN-GP（带梯度惩罚的Wasserstein生成对抗网络）捕获触发器相关分布；服务器端聚合生成器参数，构建可疑模式的全局表示而不暴露原始数据。收敛后阶段：服务器合成近似触发器的样本，应用机器遗忘（machine unlearning）通过将预测分布重定向为均匀分布来擦除触发器-目标关联。在CIFAR-10和GTSRB数据集上，针对三种攻击类型和高达40%的恶意参与率，实验表明SCRUB-FL将后门攻击成功率降至3.88%，同时保持超过91%的正常任务准确率，优于现有最先进防御，且无需服务器预先知道触发器模式或拥有大型干净代理数据集。

这篇论文揭示了联邦学习（FL）在语言模型微调过程中的隐私后门攻击风险。在联邦学习中，多个参与者协作微调模型而不共享原始数据，但全模型微调计算成本高昂，因此参数高效微调（PEFT）成为实际应用中的主流方法，它冻结基础模型仅训练少量适配器。本文提出一种名为NeuroImprint的攻击方法，由恶意参数服务器实施，能够将PEFT适配器隐秘地转化为隐私后门，该后门隐式地记忆客户端的训练样本，以每个样本对应的隔离参数更新形式存储在单独的神经元中，且不降低模型效用。具体来说，NeuroImprint为每个训练样本分配一个专用的记忆神经元，并约束每个神经元在本地微调轨迹中最多更新一次，从而解决了大本地批次和有状态优化器（如Adam/AdamW）导致的交叉样本碰撞和交叉步骤混合问题。微调完成后，这些隔离的样本更新可以通过闭式解析方法逆向恢复为文本嵌入，并确定性地映射回 token 序列。作者在多种语言模型（BERT、GPT-2、Qwen2、Llama3.2）和四个不同领域的微调数据集上验证了该方法，结果显示攻击能够重构59%至79%的微调样本，且具有较高的语义保真度。该研究首次系统性地展示了在联邦语言模型微调中利用PEFT适配器实现隐私泄露的可行性，对联邦学习的安全隐私保护提出了新的挑战。

该论文研究了个性化联邦学习（PFL）在面对后门攻击时的脆弱性。联邦学习（FL）允许多个客户端在不共享私有数据的情况下协作训练全局模型，但非独立同分布（non-IID）的数据分布导致全局模型难以适应每个客户端的本地数据。为此，个性化联邦学习（PFL）被提出，使每个客户端能够基于其私有数据训练个性化的本地模型。尽管已有大量研究关注FL中的后门风险，但PFL中的后门攻击尚未得到充分探索。本文深入分析了PFL对后门攻击的防御能力与潜在弱点。一方面，PFL的个性化过程可以稀释注入到个性化本地模型中的后门毒化效果；此外，PFL系统通常部署服务器端和客户端两端的防御机制以增强对后门攻击的屏障。另一方面，研究表明这些防御措施可能带来虚假的安全感。作者提出了一种名为PFedBA的隐蔽且有效的后门攻击策略，该策略通过优化触发器生成过程，巧妙地将后门学习任务与PFL的主学习任务对齐。全面的实验表明，PFedBA能够成功地将触发器无缝嵌入到个性化本地模型中，并在10种最先进的PFL算法上取得了优异的攻击性能，同时击败了现有的6种防御机制。该研究揭示了PFL系统中隐蔽而强大的后门威胁，呼吁社区加强对新兴后门挑战的防御。

本文提出了一种名为TIGER的新型梯度反演攻击方法，针对联邦学习场景下Transformer模型的隐私泄露问题。联邦学习中，多个客户端协同训练共享模型，仅上传梯度更新至中央服务器，理论上原始输入数据保留在本地。然而，已有的梯度反演攻击表明，这些更新足以泄露客户端输入信息。现有针对Transformer的攻击方法存在局限：优化假输入匹配真实梯度更新对于现代模型成本高且不稳定；或者利用注意力梯度的低秩性识别包含真实层嵌入的子空间，再对候选token进行离散成员测试，但该测试对数值噪声（如量化或差分隐私DP）鲁棒性差，且在非因果注意力编码器模型中扩展性差。TIGER创新性地将子空间信号转化为可微分目标，通过直接优化token嵌入以最小化其到子空间的距离，避免了对完整梯度的匹配或离散搜索。实验表明，在仅编码器模型上，TIGER在重建质量和运行时间上显著优于现有攻击；在解码器模型上，TIGER比基于子空间的先前攻击更具鲁棒性，首次在受差分隐私保护的联邦学习设置中成功实现了输入重建。这项工作揭示了现有联邦学习隐私保护机制的脆弱性，对采用Transformer架构的联邦学习系统构成实际威胁。

本文挑战了“差分隐私（DP）能够天然增强联邦学习（FL）抗后门攻击鲁棒性”的普遍假设。通过实证分析两种基线攻击策略，作者发现DP-FL中存在根本性矛盾：若攻击绕过DP，现有先进防御能够有效检测并过滤恶意更新；但若攻击遵守DP约束，DP的噪声添加过程反而会掩盖恶意更新的统计特征，导致现有防御失效。基于这一“掩蔽效应”，本文提出RING攻击，其核心思想是明确利用DP来隐藏恶意贡献，同时最大化攻击效果。具体地，被攻陷的客户端通过协同构造对抗扰动，在聚合阶段重建强后门信号而不触发异常检测。RING作为一种与底层后门技术无关的扰动层，可以广泛兼容并组合到现有攻击中，这极大增强了其对DP-FL的威胁。在四个图像和文本数据集（非独立同分布）上的大量评估表明，在中等隐私预算（如ε=8）下，RING对六种最先进防御的平均攻击成功率达到90.3%，相较于基线策略提升最高达26.08倍。最后，作者评估了潜在对策，发现缓解该威胁会带来显著的效用-隐私权衡，从而暴露了部署差分隐私联邦学习时的根本安全漏洞。

联邦学习作为一种分布式机器学习范式，允许多个客户端在不共享原始数据的情况下协作训练全局模型。然而，拜占庭鲁棒性问题是其面临的主要安全挑战之一：当存在一定数量的恶意客户端时，它们可以通过精心构造的本地模型更新来破坏全局模型的质量。现有的拜占庭鲁棒联邦学习方法通常依赖服务提供商对客户端更新进行统计分析，如修剪异常值或计算中位数，但恶意客户端仍能通过构造与正常更新方向相似但幅度极大的更新来绕过检测，因为这些方法缺乏一个可信任的基准。 本文提出 FLTrust，一种新的拜占庭鲁棒联邦学习方法，其核心思想是让服务提供商自身引导信任。具体而言，服务提供商预先收集一个干净的、小规模的训练数据集（称为根数据集），并基于此维护一个服务器模型。在每个通信轮次中，服务提供商首先计算服务器模型更新（即基于根数据集计算的梯度更新），然后为每个客户端本地模型更新分配一个信任分数：如果客户端更新的方向与服务器模型更新的方向偏离越大，则信任分数越低。接着，服务提供商对客户端更新进行幅度归一化，使其与服务器模型更新位于同一超球面上，从而限制恶意客户端通过大幅度更新造成的影响。最后，服务提供商以信任分数为权重，计算归一化后客户端更新的加权平均值作为全局模型更新，并更新全局模型。 FLTrust 不依赖对客户端数量的假设，且不要求客户端数据独立同分布。实验在六个不同领域的数据集上进行，包括图像分类、文本分类等，结果表明 FLTrust 能够有效防御现有的多种攻击（如模型替换攻击、后门攻击）以及针对性的强自适应攻击。该方法的主要贡献在于引入了基于服务提供商自身数据的信任引导机制，为联邦学习提供了新的安全基线。

联邦学习（FL）允许多方协作训练模型而不共享原始数据，但标准方法（如FedAvg）将每个客户端视为黑盒，无法隔离对抗性贡献者、审计每个客户端的影响，或尊重已退出参与者的被遗忘权。本文提出Fed-FBD（联邦功能块多样化），一种模块化联邦架构，将ResNet骨干网络分解为六个功能块（stem、四个残差组和分类头），并维护一个包含N种颜色变体的仓库，每种变体由独立跟踪和贡献者标记的块组装而成。Fed-FBD提供FedAvg所不具备的三种能力：(i) 架构保障的块级隔离，使对抗性或错误标记的客户端无法污染干净的变体；(ii) 设计上的隐私保护，在应用任何隐私机制之前，成员推断优势已与随机猜测无异；(iii) 在亚秒级成本且无需重新训练的情况下，外科手术式地遗忘已退出参与者的贡献。在六个MedMNIST-2D数据集、224x224的PathMNIST和CIFAR-10上的实验表明，在规模足够的数据集上，Fed-FBD以0.3%-3.1%的IID准确率下降换取这些保证，在四个数据集中的三个上，在Dirichlet alpha=1.0时与FedAvg的差距保持在0.8%-4.0%以内，并且所有六种对抗性攻击都被限制在中毒客户端的自身块内，对干净变体的AUC漂移不超过±0.01。

该论文提出并评估了一个端到端的联邦学习系统，用于在边缘设备上进行无监督的12导联心电图异常检测。系统结合了三种自编码器架构（VanillaAE、ConvAE、VAE），基于Flower框架实现跨十个模拟医院的联邦平均聚合，并集成客户端差分隐私（DP-SGD，使用Rényi-DP会计）和8位整数量化后训练压缩（在树莓派4上测试）。实验使用PTB-XL数据集，表明联邦学习在所有架构上达到或超过集中式基准（ConvAE的ROC-AUC为0.782），隐私预算ε=4被推荐为临床操作点。INT8量化使模型大小减半，树莓派延迟降低44%，且AUC损失小于0.12%。关键发现是差分隐私和量化惩罚可经验独立叠加，因此实践者无需在强隐私保证和小型边缘部署之间权衡。该工作是首个结合联邦学习、形式化(ε,δ)-差分隐私、无监督重建检测和量化AArch64部署的系统，为医疗物联网中的隐私合规实时监测提供了工程基准。

该论文针对量子计算对现有金融加密体系构成的威胁，提出了一种后量子安全的联邦去中心化金融（DeFi）框架，旨在提升因信用记录不足而被传统银行排斥的个人的金融包容性。核心方法包括：多家银行将客户加密数据批量上传至虚拟服务器，采用基于格的全同态加密（FHE）实现端到端同态计算，确保数据在加密状态下完成融合分析；服务器融合本地数据驱动的概率评估、专家信念以及NASA-IBM Prithvi地理空间基础模型（GFM）生成的可验证证据（全部为密文形式）；利用区块链等去中心化技术保证证据的防篡改性和机构间数据交换的可审计问责。该框架以美国弗吉尼亚州农村借款人的农业贷款决策为测试场景，展示了在保护隐私的同时提升贷款覆盖率的潜力。论文的主要贡献在于首次将后量子密码学、联邦学习、FHE与地理空间AI模型系统性地整合到DeFi场景中，为应对量子威胁下的金融普惠问题提供了可扩展的架构方案。适合关注后量子安全、联邦学习、隐私计算及普惠金融的技术研究与安全架构师阅读。

联邦学习（FL）是一种分布式机器学习范式，允许多个客户端在不共享原始数据的情况下协同训练共享模型，从而解决数据孤岛和隐私问题。然而，数据本身也是FL系统面临的主要挑战和脆弱性来源，直接影响训练的稳定性和收敛速度。现有综述通常从整体架构、安全攻击或应用场景入手，缺乏从数据视角的系统性分析。本文填补了这一空白，从数据异构性、数据划分协议和数据相关的安全防御三个方面，首次全面梳理了数据因素对FL收敛的影响。具体地，作者首先将非独立同分布（non-IID）数据分解为可测量的特征（如标签分布偏移、特征偏移、数量偏移等），并根据其对收敛的影响强度分为强、中、弱三个等级，解释了每种偏移影响收敛的机制，并统一了图像、文本和图数据上的实验证据。其次，作者将实验中常用的数据划分方式（如按标签划分、按狄利克雷分布划分）与真实场景中的现象对应，指出了这些划分方式引入的人为偏差（artifact）及其对目标精度的扭曲效应，帮助研究者更合理地设计实验。最后，作者分析了数据相关的安全漏洞（如投毒攻击、成员推断攻击）及其防御机制（如差分隐私、鲁棒聚合）对收敛速度和稳定性的影响，在干净和对抗条件下报告了性能表现，揭示了收敛与鲁棒性之间的权衡。作为首篇全面理解FL中数据挑战的综述，本文为从业者提供了可操作的设计指南，帮助他们构建具有可预测收敛性和稳定性的FL系统。

该论文研究联邦学习（FL）中的模型投毒攻击。传统FL后门攻击主要依赖算法层面操纵训练数据，但本文引入一类新的攻击：利用硬件故障（如Rowhammer）在本地模型参数中注入比特翻转，从而在联邦学习期间植入后门。攻击过程分为离线阶段：攻击者从预训练模型出发，通过分析确定要翻转的比特位；在线阶段：恶意客户端在本地训练时通过硬件故障（比特翻转）修改模型参数，使全局模型在目标任务上保持正常性能，但后门触发时输出攻击者指定的错误结果。实验表明，在ResNet-18等模型上，平均每次恶意客户端出现仅需10次比特翻转，共19次恶意交互即可达到94%的攻击成功率。论文还讨论了攻击的实用性及潜在防御的鲁棒性，并指出Rowhammer是该类威胁的主要攻击向量。该工作揭示了硬件安全与联邦学习安全的交叉风险，对设计防御策略具有指导意义。

本文针对隐私保护的个性化联邦学习（PFL）中应用CKKS同态加密方案时缺乏系统参数选择指导的问题，提出了pFedCKKS框架。该框架将CKKS集成到PFL中，并首次提供了参数选择的系统指南。研究指出，在128位安全级别下，CKKS参数约束可简化为选择两个关键值：内部密文素数和外部密文素数。通过使用Flower框架和TenSEAL库实现，并在FEMNIST、CelebA和Sentiment140数据集上，结合FedFinetune、Ditto和FedPer三种PFL算法进行评估。实验揭示了精度与计算/通信成本之间的经验权衡，从而为实际部署pFedCKKS时选择适当的CKKS参数以平衡效率和准确性提供了具体指导。该工作对于希望使用同态加密保护隐私的PFL实践者具有重要参考价值。

随着物联网和移动设备中海量数据的快速增长，分布式机器学习技术日益受到关注，联邦学习（FL）作为一种保护隐私的分布式学习框架，允许多方协作训练模型而无需共享原始数据。然而，FL容易受到数据投毒攻击，恶意客户端可能通过操控本地数据或模型更新来破坏全局模型。现有防御方案多基于相似度度量或异常过滤，但缺乏对攻击者意图的深度分析，且无法提供可解释的证据来判定恶意客户端。针对这一问题，本文提出了SHERPA，一种利用Shapley加法解释（SHAP）来识别FL系统中潜在投毒者的鲁棒算法。SHERPA的核心创新在于：首先，通过SHAP值计算每个客户端对全局模型的特征贡献；然后，基于特征归因聚类开发一种新的算法来区分投毒者和正常客户端。在多个数据集上模拟了不同场景的数据投毒攻击（包括针对隐私的投毒攻击），实验表明SHERPA能够有效缓解攻击，同时提供可解释性，为聚合过程中剔除恶意客户端提供合理的依据。该方法不仅提升了防御的可解释性，还增强了对投毒行为判定的合理性。本文的研究展示了可解释人工智能（XAI）技术在联邦学习安全防御中的潜力，为后验特征归因在对抗数据投毒攻击中的应用提供了新的视角。

本文研究了联邦学习中信息论安全聚合的容量问题。安全聚合允许服务器在保护用户更新隐私的前提下聚合本地更新。现有信息论问题通常假设由可信第三方（TTP）提供相关随机密钥，或通过预定义的组结构生成，但建立这些相关密钥的通信成本常被忽略。因此，在通用密钥分发机制下的基本极限尚不清楚。本文在包含密钥分发和聚合更新的两阶段框架下，研究了具有N个用户的T-colluding信息论安全聚合问题。与以往工作不同，本文通过用户间通信建模密钥分发，允许任意用户生成的密钥分发机制，消除了对TTP或预定义结构的依赖。这使得能够联合表征三个资源：安全随机性、密钥分发通信和聚合通信。通过构造一种新的安全聚合方案并匹配信息论逆定理，完全刻画了这三个资源之间的容量区域。特别地，本文给出了一个显式的确定性容量达到构造，适用于大小为至少N的任意有限域，而现有方案大多依赖TTP或在大有限域上使用随机或存在性构造。进一步证明，仅使用两两共享密钥即可实现最优性能，从而可通过Diffie-Hellman密钥交换实现。与Google的开创性安全聚合方案相比，所提方案在保持相同聚合通信开销的同时，所需随机掩码密钥更少。该成果为联邦学习中的隐私保护提供了理论基础和实用方案。

本文针对分布式基础设施系统（包括云计算、物联网和边缘架构）面临的日益扩大的攻击面与复杂威胁，提出了一种认知威胁情报与可解释联邦安全分析框架。传统集中式入侵检测方法在可扩展性、数据隐私、通信开销以及AI决策透明性方面存在局限。该框架融合联邦学习（FL）、可解释人工智能（XAI）和认知安全分析，实现跨分布式网络的协作式隐私保护威胁检测。其核心是：各分布式节点本地独立训练安全模型，仅通过联邦聚合机制共享加密的模型参数与更新，而非原始网络流量数据，从而提升隐私保护、降低通信依赖与集中风险。在智能威胁分析方面，框架集成了Random Forest、XGBoost、Autoencoder等机器学习和深度学习算法，并通过XAI提供可解释的检测结果，增强安全分析师对AI决策的信任。实验设计与性能评估部分在摘要中未详述，但作者声称该框架在隐私保护、检测准确率和解释性方面优于传统方法。本文适合联邦安全、可解释AI及分布式系统安全领域的研究者与从业者阅读。

本文针对基于可信执行环境（TEE）的联邦学习聚合协议中的安全漏洞进行了研究。作者首先分析了现有协议，发现服务器端攻击者可以利用TEE的局限性，即状态回滚和I/O操纵，通过操纵客户端选择和重放聚合来破坏系统的鲁棒性和隐私性。为了解决这些问题，本文提出了DIST-FL，一种由多个TEE保护的分布式服务器系统，这些TEE形成一个仅追加账本，用于实现隐私保护和鲁棒的联邦学习聚合。具体而言，DIST-FL通过确保操作线性化来防止状态回滚攻击，并通过纳入来自可靠服务器的输入来缓解I/O操纵威胁。作者在广域网（WAN）环境中实现了DIST-FL并进行了评估。实验结果表明，DIST-FL能够有效抵御所提出的攻击，并且在利用TEE计算优势的同时，其性能与单TEE方案相当，但吞吐量比同类方案提升了6倍。该研究为联邦学习安全聚合提供了新的思路，适合联邦学习、系统安全、隐私保护领域的研究人员和工程师阅读。

该论文提出了一种名为 TITAN-FedAnil+ 的联邦学习框架，旨在解决资源受限智能企业环境中的数据异质性（非独立同分布数据）和去中心化安全威胁。核心贡献包括：1) 基于亲和传播的自适应聚类聚合方法，无需预先知道攻击者数量即可识别并过滤恶意更新；2) GPU 加速向量化技术提升计算效率；3) 轻量级签名状态跳变机制实现区块链快速重同步。实验在 8 GB 边缘设备上进行，经过 50 轮通信后，相比基线框架，内存开销节省高达 81%。研究结果表明，TITAN-FedAnil+ 有效提升了鲁棒性、可扩展性和资源效率，适用于智能企业的安全联邦学习部署。

该论文研究了联邦学习在跨中心败血症早期预测中的应用。败血症早期预测需要多中心医疗数据，但数据隐私和分布式特性阻碍了集中式建模。联邦学习允许多个机构在不共享原始数据的情况下联合训练模型，但其实际性能、鲁棒性和隐私保护优势尚未在真实临床数据中得到充分评估。为此，作者从中国三家三级医院收集了648个临床筛选样本，并制定了严格的纳入排除标准。他们建立了集中式训练范式作为性能基线，然后实现了水平联邦学习框架进行分布式协同建模。大量实验表明，基于联邦学习的模型在预测准确性上与集中式模型高度接近，同时从根本上避免了隐私泄露。进一步的隐私安全分析验证了恶意攻击者无法从传输的模型参数中重建原始患者数据，表明其具有很强的抗数据重建攻击能力。这项工作不仅验证了联邦学习在临床败血症预测中的实用性和安全性，也为隐私保护的多中心医疗协作提供了可靠且可行的解决方案。

该论文提出了一种名为Echelon的跨组织语言模型适应训练架构，旨在解决日益严峻的治理约束问题：在许多部署场景中，设备级模型状态（参数、激活值、优化器状态、每次更新）不能导出到管理边界之外。现有的分布式和联邦学习架构通常假设跨站模型交换，然后再改造隐私机制，这增加了合规复杂性并使审计变得脆弱。Echelon采用“边界优先”的训练架构，将设备级模型状态不导出作为系统不变量。设备在每个边界内本地训练；跨边界的唯一负载是安全聚合的边界级增量以及O(1)的协调元数据，并通过具体的审计接口暴露。将交换限制为聚合值改变了优化问题：系统必须在广域网延迟、异构参与、节点离开和non-IID数据下保持稳定，即使全局层面从未看到每设备更新。Echelon结合了缓冲半异步安全聚合、过时感知加权、参与窗口、近端局部目标和漂移感知外部同步控制器。在2个边界、1B参数LoRA适应的实验中（24.88M token，三个种子），Echelon在固定token、固定字节、固定壁钟时间和固定同步次数预算下，达到了验证损失3.887±0.010，在低通信基线中最佳或并列最佳。在OpenWebText压力测试中，Echelon在各种广域网和non-IID条件下维持2,139-2,176 token/s的吞吐量；Echelon-DA在广域网延迟下相对隐私对等的DiLoCo+SA基线改善了达到目标时间，且在模拟200ms延迟或严重non-IID分区下质量下降不超过2.2%。该工作适合关注跨组织LLM训练隐私合规、联邦学习系统设计的研究人员阅读。

联邦学习（FL）中，异构差分隐私（HDP）允许客户端根据自身策略和数据敏感度选择不同的隐私预算（ε_i）。现有HDP-FL系统常采用ε感知的服务器聚合，通过根据客户端声明的隐私预算重新加权其梯度更新来提升模型效用。然而，联邦学习中的梯度更新保留了由非独立同分布（non-IID）数据引起的结构模式，这些额外信号为诚实但好奇的服务器提供了新的推断机会。本文首先展示了一种隐私推理攻击：服务器利用梯度去噪和代理建模，在现实知识约束下，能够推断客户端的分布属性并在训练轮次间链接同一客户端的更新，通过代理推断准确率和链接成功率衡量。Shuffle-Model作为一种防御手段，通过匿名化更新来源来抵御此类风险，但其与HDP-FL的ε感知聚合本质不兼容。为解决此矛盾，本文提出IntraShuffler，一种面向HDP-FL系统的中间件防御框架。IntraShuffler引入隐私感知的洗牌机制：将客户端分组到隐私兼容的桶中，在每个桶内执行参数级洗牌，以破坏持续的梯度结构，同时保留ε感知聚合。在四个不同数据集上的实验表明，IntraShuffler将梯度可恢复性降低超过60%，代理推断准确率从0.78降至0.33，同时在不同FL聚合规则下保持了可比的模型效用。

联邦学习（FL）是一种去中心化的机器学习范式，允许多个参与方在不共享原始数据的情况下协同训练全局模型。由于各参与方数据质量参差不齐，如何公平地评估每个数据提供者的贡献（即数据估值）成为保障FL公平性的关键问题。现有工作常引入沙普利值（Shapley value）概念，通过测量包含或排除某本地模型参数对全局模型性能的影响来量化贡献。然而，传统的贡献度测量由聚合器或中心化验证者执行，该验证者可能受组织控制而伪造结果，导致估值不公平。本文提出一个具有强公平性的可验证数据估值框架，其核心思想是让所有参与者（数据提供者）都能独立验证贡献度测量结果的正确性，从而杜绝伪造可能性。框架基于沙普利值，但设计了一套可验证的计算协议，确保任何参与方均能对聚合器计算的估值进行校验，而无需信任中心化实体。作者通过理论分析证明了框架满足强公平性（即无法伪造或篡改估值结果）和安全性，并通过实验评估了计算和通信开销，表明其在合理资源消耗下可实现可验证性。该工作为FL中的数据估值提供了可信、公平的解决方案，尤其适用于对隐私和公平性要求高的场景。

本文提出了一种基于多密钥同态加密（MK-HE）的隐私增强零阶联邦学习协议，适用于无线信道环境。传统联邦学习中的同态加密方法主要依赖单密钥方案，需要信道估计或预均衡来补偿无线衰落，且单密钥方案易受诚实但好奇的客户端攻击——一旦某个客户端密钥泄露，整个网络的安全性将受损。多密钥HE方案为每个设备分配独立密钥，提供更强的客户端级安全性。然而，多密钥HE在无线信道上的聚合面临挑战：不同用户的密文在信道上叠加会产生干扰。本文设计了一个四阶段协议，利用xMK-CKKS（一种知名的多密钥HE方案）在共享无线信道上实现无信道估计的聚合。协议通过重传部分公钥和密文利用相同信道实现，使得解密过程中占主导的大模数加密项代数相消。该协议与零阶联邦学习结合，适用于慢变视距主导信道，每个设备每轮仅传输一个加密标量，通信和加密开销与模型维度无关。理论证明，解码后的加密噪声将收敛率保持在O(1/√K)水平，直至可忽略的噪声基底。协议对诚实但好奇的服务器与最多N-1个客户端合谋的场景安全。MNIST数据集上的数值实验验证了理论分析。

联邦学习在保护数据隐私的同时，面临来自恶意客户端的模型投毒攻击威胁，现有防御方法多依赖固定阈值或固定聚类数量来区分恶意梯度与良性梯度，难以适应动态变化的攻击策略，且由于客户端本地数据异构性，容易误丢弃良性梯度。针对这些问题，本文提出一种增强聚类聚合（EnCAgg）方法，利用少量已知良性客户端作为参考，在恶意客户端数量未知且动态变化的情况下，准确识别并过滤恶意梯度，同时尽可能保留良性梯度。具体而言，首先设计基于密度的低维梯度聚类方法，将高维梯度投影到差异最大的两个维度上，采用密度聚类识别恶意梯度，同时保留聚类良性梯度和可能为良性的离群点；其次，提出增强聚类低维梯度生成器模型，学习生成与良性簇边界对齐的伪梯度，作为连接稀疏良性梯度离群点的桥梁；最后，引入低维梯度重聚类，将生成的伪梯度与真实梯度共同聚类，恢复被误分类为噪声点的良性梯度，使更多良性梯度参与聚合。在MNIST、CIFAR-10和MIND数据集上的大量实验表明，该方法在动态投毒场景下具有优异的保真度和鲁棒性。

联邦学习通过不传输原始数据的方式实现分布式模型训练，但平均聚合方法受非独立同分布（non-IID）数据的严重影响，导致收敛速度慢和模型精度下降。现有替代方案具有显著的低效性：带有噪声或高度异构数据的客户端贡献了昂贵的梯度计算，这些计算在聚合前往往被丢弃或大幅降权。这种被动方法浪费计算资源、需要更多通信轮次，并导致不必要的隐私暴露。本文提出一种主动客户端选择框架，旨在训练开始前找到一组最优客户端联邦，其组合数据满足效用和公平性要求。该方法利用从差分隐私列联表计算出的互信息，来量化联合数据集中跨特征相关性的相关性。引入潜在联邦损失（PFL）函数，该函数平衡两个目标：最大化集体数据效用，同时确保公平的跨特征相关性以防止群体不公。将客户端选择表述为在PFL目标上的最优子集搜索问题，使用模拟退火算法求解，并为客户端本地统计提供强差分隐私保证。在四个基准上的实验表明，与均匀采样甚至使用最先进的自适应聚合或采样策略相比，在最优联邦上训练的模型更快、更公平、更准确。

该论文提出了一种高效的联邦学习因果遗忘方法 HF-KCU，用于在不完全重训练的情况下移除特定客户的数据贡献，以满足隐私法规（如 GDPR）的数据删除要求。传统方法从头重训练计算成本极高（O(d^3)），而 HF-KCU 通过 Krylov 子空间中的共轭梯度迭代近似影响函数，将复杂度降至 O(kd)（k<<d）。其核心创新包括：(1) 因果加权机制，仅让持有被删除数据的客户端接收参数更新，避免对其他客户端产生虚假影响；(2) 能够处理有界对抗性扰动（对 Hessian 和梯度的扰动），在现实威胁模型下提供优雅的性能退化。实验在 CIFAR-10、MNIST、Fashion-MNIST 上使用 ResNet-18、SimpleCNN 和 ViT-Lite 架构验证：在 CIFAR-10 上，HF-KCU 比重训练快 47.75 倍，测试精度仅下降 0.60%（71.16% vs 71.76%）；成员推理攻击在遗忘集上的成功率为 0.499，与重训练模型一致，证明有效恢复了隐私。论文还提供了收敛性保证，证明 Krylov 近似误差随 O((κ^(1/2)-1)/(κ^(1/2)+1)) 衰减（κ 为 Hessian 条件数）。该方法的精确性和效率使其适用于异步删除请求且计算预算受限的生产联邦学习系统。

本文提出一个名为XAI FL-IDS的分布式入侵检测系统框架，旨在解决传统集中式IDS存在的两大局限：隐私泄露和缺乏可解释性。当前大多数IDS依赖集中式检测，要求IoT节点将原始数据发送至服务器，不仅增加网络开销，也无法保证数据隐私；同时，传统模型仅报告攻击与否，却不解释特征如何影响决策。作者首先通过联邦学习（FL）实现隐私保护：每个节点在本地训练数据，仅将更新参数（而非原始数据）上传至中央服务器，从而消除数据转移的隐私顾虑。其次，在本地节点和中央服务器两个层级的检测结果上，均使用SHAP（Shapley Additive Explanations）进行可解释性分析，提供决策过程的详细洞察。框架包含一个中央服务器和10个客户端，采用Edge-IIoTset数据集，并在客户端间均衡分布类别。每个客户端运行XGBoost模型。实验表明，该方法在入侵检测中表现稳健，准确率超过99%，有时可达100%。联邦学习的引入保证了每个本地节点网络信息的机密性。本文贡献在于将联邦学习与可解释AI有机结合，为分布式IDS提供了隐私保护与透明度兼具的解决方案。

本文针对空中联邦学习（OTA-FL）系统中的后门攻击漏洞提出了一种两阶段鲁棒聚合防御框架。OTA-FL利用无线信道的叠加特性提升通信效率，但该特性也导致参数服务器无法获取单个客户端的本地更新，从而难以识别和排除被投毒的梯度。此外，在非独立同分布（Non-IID）训练数据下，良性梯度的漂移可能与恶意更新高度相似，进一步加剧了检测难度。为此，作者首先为每个客户端分配一个模态感知的多指标信任分数，根据数据模态（如波形、文本、图像）和模型架构选择最具区分力的指标以捕捉后门更新的特征。基于该分数，参数服务器执行基于信任的多址接入（TBMA），将客户端分为可信、可疑和恶意三类。对于可疑客户端，进一步通过服务器侧的逐层检查和纵向声誉机制进行审查。在多个数据集上的实验表明，该方法能有效抑制多种隐蔽后门攻击（包括有界缩放攻击、欧几里得约束攻击、余弦约束攻击和Neurotoxin），同时保持主任务精度。该研究为OTA-FL的安全部署提供了重要理论支持。

该论文提出了一种用于网络入侵检测的新型联邦学习方法，旨在解决传统联邦学习假设各参与机构数据分布同质的问题。作者指出，不同机构（如金融公司与政府机构）的安全控制成熟度、风险暴露程度存在显著差异，导致其本地模型训练数据本质不同。论文从ISACA的CRISC框架中选取了四个治理指标：控制成熟度（CMM）、已实施控制比例（KCI）、风险指标激活频率（KRI）和平均漏洞评分（CVSS），并将其结合为一个机构一致性指数（ICC）。该指数作为正则化先验，输入到Nelder-Mead联邦权重优化器中，引导权重分配反映机构质量，而不强加固定分配。每个节点训练一个混合朴素贝叶斯分类器，结合分类和连续属性处理。服务器端将本地分布集成为真实高斯混合，保留各节点的统计特性，而非合并为全局参数向量。在NSL-KDD（2009）、CIC-IDS2017（2017）和UNSW-NB15（2015）三个数据集上，在七种狄利克雷异构程度下进行验证。结果表明，ICC正则化方法在F1宏平均上均优于按比例大小的联邦平均：0.9135 vs 0.9076（+0.0059）、0.7556 vs 0.6771（+0.0785）和0.2110 vs 0.2060（+0.0050）。在94个配置中有70个达到统计显著性（McNemar检验，p<0.05）。优化器自动将最高权重分配给机构成熟度最高的节点，最低权重分配给成熟度最低的节点，无需显式排序约束。

该论文针对半导体供应链中假冒集成电路（IC）带来的安全威胁，提出了一种基于联邦学习的隐私保护协同检测方案。传统联邦学习易受拜占庭数据投毒攻击，导致模型聚合被污染。作者设计了一个轻量级的客户端认证框架FedEDAuth，在联邦学习的嵌入层进行身份验证。该方法利用黄金数据集生成参考嵌入分布，通过异常值分析、均值偏移检测和微聚类行为特征，在不访问原始数据或梯度的情况下识别并过滤恶意客户端。实验设置50个分布式参与者，在拜占庭投毒攻击下，FedEDAuth实现了100%的恶意客户端检测率，过滤后联邦模型对假冒IC的分类准确率达到94.17%。该框架可无缝集成到标准联邦学习流程中，为下一代硬件安全解决方案提供了可信联邦学习的关键技术支撑。

本文提出了一种名为 DisAgg 的新型安全聚合协议，用于联邦学习中的隐私保护。在传统联邦学习中，客户端更新直接暴露给中央服务器，存在隐私风险。现有的安全聚合方案虽然能抵御诚实但好奇的服务器，但通常存在通信轮数多、公钥操作重、难以处理客户端掉线等问题。最近提出的单轮私有聚合（OPA）虽然减少了通信轮数，但引入了大量的密码学和计算开销。DisAgg 通过引入一个由少量客户端组成的聚合器委员会来执行聚合操作：每个客户端使用秘密共享将其更新向量分发给聚合器，聚合器本地计算部分和，只返回聚合后的份额给服务器进行重构。这种设计消除了本地掩码和昂贵的同态加密，降低了端点的计算复杂度，同时保护了隐私（抵御好奇的服务器和有限数量的合谋客户端）。通过优化通信与计算成本的权衡，DisAgg 在处理来自 100k 个 5G 客户端的 100k 维更新向量时，相比于之前的最佳协议 OPA 实现了 4.6 倍的加速。论文通过理论分析和实验验证了 DisAgg 在效率、隐私保证和可扩展性方面的优势。

联邦学习（FL）极易受到后门攻击的影响，恶意客户端会向全局模型中注入特定行为。现有的防御方法在真实世界的非独立同分布（non-IID）数据下存在较高的误报率，会错误地将良性客户端标记为恶意，即使正确识别了对手也会导致模型精度下降。本文提出了一种新颖的后门防御方法FedSurrogate，它通过结合双向梯度对齐过滤与层自适应异常检测来解决这一局限性。FedSurrogate通过方向散度分析识别安全关键层，并在这些层上进行选择性聚类，将检测信号集中到低维子空间中。双向软过滤阶段对受信任的客户端进行筛选以去除残留污染，同时从可疑客户端中救回误报，显著减少了异构条件下的误分类。FedSurcore不直接移除确认的恶意更新，而是用来自结构相似的良性客户端的降尺度替代更新来替换它们，从而在保持梯度多样性的同时中和对抗性影响。大量实验表明，FedSurrogate在所有数据集和攻击类型下将误报率保持在10%以下（最接近的可比较基线为31-32%），同时在具有挑战性的non-IID设置下实现了更高的主任务准确率，并将攻击成功率保持在2.1%以下。

本文提出一种名为 DP-LAC 的轻量级自适应裁剪方法，用于解决联邦学习（FL）中差分隐私（DP）随机梯度下降（DP-SGD）的裁剪阈值自调整问题。在联邦微调大规模语言模型（LLM）时，DP-SGD 通过裁剪每个客户端贡献的梯度范数至阈值 C 并添加与 C 成比例的高斯噪声来保护隐私。现有的自适应裁剪方法虽然能动态调整 C，但需要繁琐的超参数调优，且可能消耗额外的隐私预算。DP-LAC 首先通过私有直方图估计在最优阈值的一个数量级内估算初始裁剪阈值，随后在训练过程中在不消耗额外隐私预算且不引入新超参数的情况下自适应调整该阈值。实验结果表明，DP-LAC 在多个任务上平均准确率比当前最优自适应裁剪方法和原始 DP-SGD 提高 6.6%，显著提升了模型效用与隐私保护之间的权衡。该方法特别适用于资源受限的边缘设备场景，为联邦学习中差分隐私的实用化提供了轻量级解决方案。

本文提出了一种针对语言模型联邦学习（FL）训练过程的梯度反转攻击方法GRAB。以往研究表明，梯度反转攻击在视觉模型的连续域中威胁显著，但在语言模型中由于文本数据的离散性，攻击效果通常被认为较弱或依赖于不切实际的训练设置，导致其隐私威胁被低估。GRAB通过混合优化策略克服了实际训练中的挑战：首先，通过层间dropout掩码的同步优化来提升令牌恢复的准确性；其次，采用离散优化以实现有效的令牌排序。实验表明，GRAB在基准设置下可恢复高达92.9%的私有训练数据，相比仅使用辅助模型进行离散优化的攻击方法，恢复率提升达28.9%；在实际设置下提升达48.5%。该工作揭示了联邦学习语言模型训练中此前被忽视的隐私风险，为理解这一新兴训练模式的隐私威胁提供了重要进展。适合关注联邦学习隐私安全的研究人员、语言模型开发者以及安全工程师阅读。

本文提出 Flamingo，一种用于大规模客户端数据安全聚合的系统，特别针对联邦学习中的多轮聚合场景。联邦学习中，服务器需要多次对客户端提交的模型权重进行求和（平均）以训练模型，但必须保证不泄露任何客户端的个体输入。现有协议如 Bell et al. (CCS '20) 主要针对单轮设计，通过重复执行来适应多轮场景，这导致每轮都需要昂贵的设置操作。Flamingo 的主要创新包括：1）消除了每轮设置，大大降低了通信和计算开销；2）提出了一种轻量级的 dropout 弹性协议，当客户端在聚合过程中中途退出时，服务器仍能获得有意义的结果，而无需像之前方案那样重新开始或丢弃整个聚合；3）引入了一种新的本地选择“客户端邻域”的方法（该概念由 Bell et al. 引入），使得每个客户端可以自主决定参与聚合的合作伙伴，从而减少客户端与服务器之间的交互次数。这些技术显著缩短了端到端训练时间。作者实现了 Flamingo 并在 (Extended) MNIST 和 CIFAR-100 数据集上进行了评估，结果表明它能够安全地训练神经网络，且模型收敛精度与无隐私保护的联邦学习系统相当，未出现精度损失。本文适合对联邦学习隐私保护、安全多方计算、高效密码协议感兴趣的研究者和工程师阅读。

联邦学习（FL）面临诸多安全攻击，但学界对其根本原因及有效防御缺乏整体理解。本文系统剖析了现有定向攻击的内部机制，揭示了攻击可行的原因在于：机器学习算法对尾部数据的记忆需求对FL完整性产生重大影响——这一现象此前主要被研究为隐私问题，本文首次阐明了其对模型完整性的关联。通过分析，作者发现对客户端更新施加范数约束（如L2和L∞界）可以显著缓解某些严重攻击。然而，在安全聚合协议中高效实施这些约束面临挑战，因为加密的梯度更新无法直接验证。为此，本文提出RoFL，一种新型安全FL系统，它在安全聚合的基础上扩展了隐私保护的输入验证功能。RoFL利用密码学技术，在不暴露明文更新的前提下，对高维加密模型更新强制执行L2和L∞界约束。实验表明，RoFL在保持模型准确率的同时，能有效防御多种投毒攻击，为FL的鲁棒性提供了可证明的保障。该工作为理解FL攻击的本质及设计实用防御方案提供了理论基础和实践指南。

本文提出 martFL，一种专为安全、可验证的数据市场设计的联邦学习架构。在数据市场中，数据需求方（DA）需要从多个数据提供方（DP）获取高质量训练数据，但直接交换原始数据存在隐私风险。联邦学习通过交换模型或梯度来传递数据效用，但现有架构存在三个关键挑战：1) DA 无法在交易前私下评估各 DP 提交的本地模型质量；2) 现有聚合协议难以有效排除恶意 DP，同时避免对 DA 可能有偏的根数据集过拟合；3) 缺乏公正的计费机制来按贡献分配奖励。martFL 通过两项创新设计解决上述问题：首先，一个质量感知的模型聚合协议，使 DA 即使在根数据集有偏的情况下，也能从聚合中排除低质量或投毒的本地模型；其次，一个可验证的数据交易协议，使 DA 能够以简洁且零知识的方式证明其已按照承诺的权重忠实地聚合了这些本地模型，从而允许 DP 根据其权重/贡献明确索取奖励。作者实现了 martFL 原型，并在多种任务上进行了广泛评估。结果表明，martFL 可将模型准确率提升高达 25%，同时节省高达 64% 的数据获取成本。该工作适用于联邦学习、数据市场、隐私计算等方向的研究者和工程师。

该论文提出了一种名为 FedAttr 的新协议，用于在联邦学习（FL）环境下对大型语言模型（LLM）微调过程进行客户端级别的归属分析。传统的基于水印的放射性检测方法已证明在集中式LLM微调中有效，但在联邦学习中面临挑战：联邦学习依赖安全聚合（SA）来保护客户端更新的隐私，这使得检测哪个客户端使用了带水印的数据变得困难。FedAttr 通过配对子集差分机制实现客户端归属，同时不破坏安全聚合的隐私保证和联邦学习性能。协议分三步：首先，通过两次安全聚合查询的差分估计每个客户端的更新；其次，利用差分评分机制通过水印检测器对估计结果打分；最后，使用Stouffer方法跨轮次合并分数。理论分析表明，FedAttr 能产生每个客户端更新的无偏估计，且每轮互信息泄漏量为 O(d*/N)。实验结果显示，FedAttr 在真实数据集上实现了100%的TPR和0%的FPR，在TPR上至少优于所有基线44.4%，在FPR上至少优于19.1%，且仅增加FL训练时间6.3%的额外开销。消融研究证实了其对协议参数和配置的鲁棒性。该工作填补了联邦LLM微调中隐私保护客户端归属的空白，特别适用于数据版权保护场景。

该论文提出了一个名为CLAD的综合框架，用于解决物联网（IoT）和工业物联网（IIoT）环境下的入侵检测问题。随着IoT设备的激增，网络攻击面大幅扩大，传统集中式入侵检测系统面临隐私和扩展性挑战。联邦学习（FL）提供了一种隐私保护方案，但现有FL-based IDS难以处理设备行为的异质性，且通常无法利用大量未标注数据。CLAD通过结合聚类联邦学习（CFL）和一种新颖的双模式微架构（DM²A）来同时解决这两个瓶颈。DM²A包含一个共享编码器和两个分支，分别用于无监督异常检测和有监督攻击分类，从而能够从标注和未标注客户端中提取知识。聚类组件根据流量模式动态分组设备，防止全局模型发散。实验表明，在80%未标注客户端的场景下，CLAD相比现有基线方法实现了30%的检测性能相对提升，且通信开销减半。该框架适合关注隐私保护型IDS、联邦学习在网络安全中应用的研究者和工程师。

本论文提出一种针对联邦学习的训练时后门攻击方式，使恶意服务器能够系统性地提取客户端完整训练样本。传统数据提取方法往往只能概率性重建或产生幻觉，无法精确恢复原始数据。该方法通过修改训练过程，在模型中嵌入一个后门触发器，当输入特定索引模式时，模型会直接输出对应训练样本。由于输出尺寸限制，攻击者将样本分割为多个补丁依次提取，并在服务器端重组。攻击仅需对训练代码做微小修改，客户端验证难以察觉，构成联邦学习供应链安全威胁。实验覆盖分类器、分割模型和大语言模型，显示可以数千计地恢复敏感样本，且对主任务性能影响极小（如医学分割数据集仅降低3%准确率）。研究揭示了联邦学习系统中数据隐私的重大漏洞，强调加强分布式训练管道完整性和透明性的必要性。适合联邦学习安全研究员、隐私保护工程师阅读。

该论文提出 ZKSL，一个可验证且高效的拆分/联邦学习框架，将训练过程与零知识证明相结合。核心目标是实现联邦学习的隐私保护与可验证正确性，同时避免高昂的证明开销。ZKSL 通过三个设计支柱实现： (i) 层间并行证明，逐层生成证明并聚合； (ii) PC-PLONK，引入专用的隐私承诺列来高效强制执行跨层一致性，避免在电路内进行哈希（在论文规模下不可行）或脱离电路进行哈希（破坏零知识信任模型）； (iii) 异步计算-证明调度（K-window），将随机梯度下降与证明解耦，使训练过程不会因证明生成而停滞。论文提供了开源原型，包括立即可用的配置和脚本，可复现 LeNet（两方）和 DeepFM（三方）上的关键结果。它产生结构化日志，记录前向/梯度/反向各阶段的证明生成时间。预期结果是，在启用分层并行时，前向和反向阶段的证明时间显著减少，并且在异步调度下端到端吞吐量更高，与论文图表中报告的趋势一致。该工作适合关注隐私保护机器学习、联邦学习安全性和可验证计算的研究人员和工程师阅读。

该论文提出了一种基于图的网络入侵检测系统（GNIDS）与联邦学习（FL）相结合的方法 Entente，旨在解决传统 GNIDS 在分布式数据收集场景下因隐私法规和运营限制而难以实现集中式数据的问题。现有 GNIDS 主要假设数据集中存储，但现实中不同组织的数据可能因隐私保护无法共享。作者利用联邦学习使得多个客户端（如不同组织的网络）在不共享原始数据的情况下协同训练检测模型。然而，直接将 FL 应用于 GNIDS 面临挑战：不同客户端之间的图数据存在异构性（例如网络拓扑结构差异），且不同 GNIDS 的设计选择不同。为此，Entente 引入了一套针对图数据集的新技术：参考图合成（Reference Graph Synthesis）用于生成统一的参考图以缓解异构性；图草图（Graph Sketching）用于高效地压缩图数据并保留关键结构信息；自适应贡献缩放（Adaptive Contribution Scaling）用于平衡各客户端对全局模型的贡献，防止某些客户端主导训练。实验使用三个大规模数据集（LANL、OpTC 和 Pivoting）进行评估，结果显示 Entente 在检测准确率和鲁棒性上优于现有的 FL 基线方法。此外，论文还针对 GNIDS 场景设计了特定的联邦学习投毒攻击，并证明 Entente 能够将攻击成功率限制在较低水平，展现了其鲁棒性。总体而言，该研究为构建跨组织边界的分布式 GNIDS 提供了有前景的方向。

本文提出了一种名为 WhiteCloak 的协议，旨在解决联邦学习安全聚合场景下匿名恶意客户端的问责问题。在安全聚合中，客户端数据通过加密手段聚合，保护了用户隐私，但也使得恶意客户端可以匿名破坏模型而不被追责。WhiteCloak 通过一种可验证的匿名身份绑定机制，在聚合过程中为每个客户端生成唯一但匿名的凭证，使得服务器在聚合后能够识别并排除恶意客户端，同时不泄露其真实身份。该协议结合了密码学承诺、零知识证明和可追溯签名，实现了隐私保护与问责性的平衡。实验表明，WhiteCloak 在额外计算开销可接受的前提下，有效提升了联邦学习系统的安全性。

联邦学习（FL）允许多个客户端协同训练模型而不共享原始数据，但面临梯度反转攻击（GIA）的威胁，攻击者可从共享梯度中重建私有数据。现有防御方法要么在嵌入式平台上计算开销过高，要么无法同时保证隐私保护和模型效用，且许多方法易被了解防御细节的自适应攻击者绕过。为此，本文提出SVDefense，一种基于截断奇异值分解（SVD）的梯度混淆防御框架。SVDefense包含三项关键创新：1）自适应能量阈值（Self-Adaptive Energy Threshold），根据客户端脆弱性动态调整SVD截断阈值；2）通道级加权近似（Channel-Wise Weighted Approximation），有选择地保留关键梯度信息以维持模型训练效果，同时增强隐私保护；3）层级加权聚合（Layer-Wise Weighted Aggregation），在类别不平衡下实现有效的模型聚合。实验评估在图像分类、人类活动识别和关键词识别等多个应用上表明，SVDefense在提供强大隐私保护的同时对模型精度影响极小，且可在多种资源受限的嵌入式平台上实际部署。论文若被接收将公开代码。

本文针对联邦学习（FL）中梯度、模型更新和发布表示可能泄露敏感属性的隐私问题，提出了一种名为高斯隐私保护器（Gaussian Privacy Protector, GPP）的数据发布框架。GPP针对连续高维输入，学习一个随机编码器，将原始数据映射到低维的消毒表示。编码器通过变分下界最小化发布表示与指定敏感属性之间的互信息，同时通过交叉熵项保留指定效用属性，并引入拉格朗日乘子β控制权衡。随后，作者将GPP扩展到联邦设置：每个客户端训练本地编码器，敏感标签不出客户端，聚合器仅接收消毒表示，从而在标准FL的“原始数据保留本地”保证之上提供实例级隐私保护。在三个基准数据集上评估：MNIST（数字和效用、奇偶敏感）、CelebA（微笑与性别）和HAPT-Recognition（活动与主体身份），结果表明GPP的效用与无约束自编码基线相差约一个百分点，同时将对手的AUC降至接近随机猜测水平。该方法为隐私敏感型应用（如医疗传感器、物联网设备、可穿戴设备）中的数据发布提供了一种有效的隐私-效用权衡方案。

本文针对联邦学习中的隐私保护问题，提出了一套完整的隐私保护机器学习工作流，专注于敏感表格数据。首先，结合匿名化与差分隐私技术，在数据层面和模型训练层面提供隐私保障。其次，对客户端漂移（client drift）给出了正式定义，并设计了检测方法以减轻投毒攻击的影响。核心贡献在于提出了一种基于重识别风险度量的个性化全局差分隐私预算分配方法，允许为网络中不同客户端分配差异化的隐私预算。在公开的医疗记录数据集上的实验表明，与固定全局差分隐私预算的方案相比，所提出的个性化预算方法在两个误差指标上取得了更优的模型性能。该工作流涵盖了从数据预处理到模型聚合的全流程，为敏感数据场景下的联邦学习实践提供了系统性的隐私保护框架。

联邦学习（FL）易受到投毒攻击，恶意客户端会上传篡改的模型更新以降低全局模型的性能。现有的检测方法虽能识别并移除恶意客户端，但模型已受污染，仍需恢复。从头再训练虽然有效但成本高昂，而现有的遗忘方法在效果和效率上均不理想。本文提出联邦对抗遗忘（FAUN），一种轻量级框架，仅保留恶意客户端最近一小段更新历史，并利用代理数据集进行对抗优化，生成能消除恶意方向的更新。通过少量遗忘轮次应用这些更新，随后进行良性微调，即可快速移除恶意影响并稳定恢复。在三个经典数据集上的实验表明，FAUN 能达到与再训练相当的恢复效果，且所需轮次大幅减少，攻击成功率降至接近零，证明了 FAUN 成功消除了被遗忘客户端的贡献。

本文提出了一种针对联邦学习（FL）中拜占庭攻击的多层防御自适应聚合方法（AdaBFL）。联邦学习允许客户端在不共享原始数据的情况下协作训练模型，但其分布式特性使其容易受到投毒攻击，恶意客户端可能提交损坏的模型以操纵全局模型。现有的拜占庭鲁棒方法要么无法平衡对抗多种攻击类型，要么依赖服务器持有数据集。为此，AdaBFL设计了一个新颖的三层防御机制：第一层通过统计检测异常更新，第二层采用加权平均聚合，第三层自适应调整各防御算法的权重以应对复杂攻击。该方法在非凸非独立同分布（non-iid）数据设置下提供了收敛性保证。在多个数据集上的实验表明，AdaBFL在防御效果上优于对比算法，且能有效应对多种攻击类型的混合场景。研究贡献包括：提出自适应多层防御框架、证明收敛性、以及实验验证鲁棒性。适合联邦学习安全研究者及关注隐私保护与鲁棒性的工程师阅读。

联邦学习（Federated Learning）因其能够保护参与者数据隐私而闻名。然而，近期出现的模型逆向攻击（Model Inversion Attacks, MIAs）表明，恶意的参数服务器可以从模型更新中重建用户的本地数据样本。现有的最先进攻击要么依赖计算密集型的迭代优化方法来重建每个输入批次，导致难以扩展；要么需要恶意参数服务器在全局模型架构前添加额外模块，使得攻击过于显眼且容易被检测。为了克服这些局限，本文提出了Scale-MIA，一种新型的模型逆向攻击，能够高效且准确地从聚合模型更新中重建本地训练样本，即使系统受到鲁棒的安全聚合（Secure Aggregation, SA）协议保护。Scale-MIA利用模型的内部架构，将潜在空间（Latent Space）识别为破坏隐私的关键层。它将复杂的重建任务分解为创新的两步过程：第一步，利用精心设计的线性层，通过闭式反演机制从聚合模型更新中重建潜在空间表示（LSRs）；第二步，将LSRs输入微调后的生成式解码器，重建整个输入批次。作者在常用机器学习模型上实现了Scale-MIA，并在多种设置下进行了全面实验。结果表明，与最先进的MIAs相比，Scale-MIA在不同数据集上均取得了优异的性能，在更大规模下表现出高重建率、高准确性和高攻击效率。代码已开源。