随着物联网设备的普及，分布式边缘系统开始大规模收集敏感数据，为设备端机器学习提供了应用场景。联邦学习（FL）通过仅传输模型参数而不交换原始数据，在一定程度上缓解了隐私泄露风险。然而，当前研究忽视了一个关键盲点：在个性化联邦学习（PFL）场景中，客户端各自维护私有模型以应对数据异质性，但这种个性化机制反而使得系统更容易受到基于迁移的对抗性攻击。本文首先系统分析了多种主流PFL方法，发现相较于集中式学习，PFL在对抗样本转置攻击下表现出显著更高的脆弱性：恶意客户端可利用本地模型知识构造对抗样本，进而攻击其他对等客户端的个性化模型。作者通过理论分析并在多个基准数据集（如CIFAR-10、MNIST等）上进行实证评估，验证了该脆弱性，结果显示各PFL方法的准确率均大幅下降。为应对这一挑战，论文提出了一种协同防御框架，具体包括：（1）在输入层注入随机噪声，以破坏对抗扰动的有效性；（2）引入输入缩放迹正则化，约束模型更新方向；（3）最大化参数敏感度，增强模型对微小扰动的鲁棒性。实验证明，该框架能有效恢复模型精度，平衡隐私与安全性。这项工作首次对PFL系统中的对抗威胁进行了系统性研究，既揭示了安全隐患，也提供了实用的诊断工具与防御手段，适合联邦学习、分布式机器学习及安全领域的从业者阅读。

该论文研究了个性化联邦学习（PFL）在面对后门攻击时的脆弱性。联邦学习（FL）允许多个客户端在不共享私有数据的情况下协作训练全局模型，但非独立同分布（non-IID）的数据分布导致全局模型难以适应每个客户端的本地数据。为此，个性化联邦学习（PFL）被提出，使每个客户端能够基于其私有数据训练个性化的本地模型。尽管已有大量研究关注FL中的后门风险，但PFL中的后门攻击尚未得到充分探索。本文深入分析了PFL对后门攻击的防御能力与潜在弱点。一方面，PFL的个性化过程可以稀释注入到个性化本地模型中的后门毒化效果；此外，PFL系统通常部署服务器端和客户端两端的防御机制以增强对后门攻击的屏障。另一方面，研究表明这些防御措施可能带来虚假的安全感。作者提出了一种名为PFedBA的隐蔽且有效的后门攻击策略，该策略通过优化触发器生成过程，巧妙地将后门学习任务与PFL的主学习任务对齐。全面的实验表明，PFedBA能够成功地将触发器无缝嵌入到个性化本地模型中，并在10种最先进的PFL算法上取得了优异的攻击性能，同时击败了现有的6种防御机制。该研究揭示了PFL系统中隐蔽而强大的后门威胁，呼吁社区加强对新兴后门挑战的防御。