这篇论文揭示了联邦学习（FL）在语言模型微调过程中的隐私后门攻击风险。在联邦学习中，多个参与者协作微调模型而不共享原始数据，但全模型微调计算成本高昂，因此参数高效微调（PEFT）成为实际应用中的主流方法，它冻结基础模型仅训练少量适配器。本文提出一种名为NeuroImprint的攻击方法，由恶意参数服务器实施，能够将PEFT适配器隐秘地转化为隐私后门，该后门隐式地记忆客户端的训练样本，以每个样本对应的隔离参数更新形式存储在单独的神经元中，且不降低模型效用。具体来说，NeuroImprint为每个训练样本分配一个专用的记忆神经元，并约束每个神经元在本地微调轨迹中最多更新一次，从而解决了大本地批次和有状态优化器（如Adam/AdamW）导致的交叉样本碰撞和交叉步骤混合问题。微调完成后，这些隔离的样本更新可以通过闭式解析方法逆向恢复为文本嵌入，并确定性地映射回 token 序列。作者在多种语言模型（BERT、GPT-2、Qwen2、Llama3.2）和四个不同领域的微调数据集上验证了该方法，结果显示攻击能够重构59%至79%的微调样本，且具有较高的语义保真度。该研究首次系统性地展示了在联邦语言模型微调中利用PEFT适配器实现隐私泄露的可行性，对联邦学习的安全隐私保护提出了新的挑战。

该论文研究差分隐私（DP）图像合成问题，旨在从敏感数据集中生成保留统计特征的图像，同时提供严格的隐私泄漏保证。现有方法通常使用差分隐私随机梯度下降（DP-SGD）对公共模型进行全量微调，但公共模型参数数量庞大，导致计算成本高昂。近期工作启发式地采用低秩自适应（LoRA）对所有注意力层参数进行微调以减少可训练参数，然而在DP设置下，对所有注意力层参数进行LoRA覆盖是次优的，因为噪声会累积并导致训练崩溃。为解决此问题，论文提出DP-SAPF（Saliency-Aware Parameter Fine-tuning），一种显著性感知的参数微调方法。核心思路是：较大的梯度幅值表示较高的显著性，这些参数对DP学习最为关键。具体地，将敏感图像输入公共模型，计算梯度并添加噪声以满足DP要求，然后识别出在敏感图像上具有高梯度幅值的显著参数，仅对这些参数进行LoRA微调。在四个敏感图像数据集上的实验表明，DP-SAPF相比无参数选择的微调方法，在相同或更少计算资源下，提升了合成图像的效用和保真度。该方法适用于需要基于敏感数据（如医疗影像、人脸数据）生成合成图像以支持数据分析或模型训练的场景，同时满足差分隐私合规要求。