该论文首次系统性地分析了图神经网络（GNN）在节点级成员推断攻击下的隐私风险。GNN广泛应用于社交网络、蛋白质结构等图数据，但先前对隐私攻击的研究主要集中在欧几里得数据（如图像和文本）上，GNN的隐私漏洞尚未被充分探索。作者定义了三种威胁模型，基于攻击者的背景知识强度：仅知道图结构和部分节点标签、知道目标节点子图、知道完整图结构。针对这些模型，提出了三种成员推断攻击方法，利用节点嵌入的过拟合特性及图结构信息。在三个经典GNN架构（GCN、GraphSAGE、GAT）和四个基准数据集（Cora、Citeseer、Pubmed、Facebook）上评估，结果显示即使攻击者仅有最小背景知识，GNN也显著泄露节点成员信息。实验进一步表明，图的密度和节点特征的相似性对攻击成功率有重要影响：高密度图或高特征相似性会增加攻击风险。最后，作者探索了两种防御机制——差分隐私训练和图扰动，并发现它们能降低攻击性能，但会以适度牺牲模型效用为代价。该工作对理解GNN隐私风险并设计防御策略具有重要意义。

联邦学习（FL）中，异构差分隐私（HDP）允许客户端根据自身策略和数据敏感度选择不同的隐私预算（ε_i）。现有HDP-FL系统常采用ε感知的服务器聚合，通过根据客户端声明的隐私预算重新加权其梯度更新来提升模型效用。然而，联邦学习中的梯度更新保留了由非独立同分布（non-IID）数据引起的结构模式，这些额外信号为诚实但好奇的服务器提供了新的推断机会。本文首先展示了一种隐私推理攻击：服务器利用梯度去噪和代理建模，在现实知识约束下，能够推断客户端的分布属性并在训练轮次间链接同一客户端的更新，通过代理推断准确率和链接成功率衡量。Shuffle-Model作为一种防御手段，通过匿名化更新来源来抵御此类风险，但其与HDP-FL的ε感知聚合本质不兼容。为解决此矛盾，本文提出IntraShuffler，一种面向HDP-FL系统的中间件防御框架。IntraShuffler引入隐私感知的洗牌机制：将客户端分组到隐私兼容的桶中，在每个桶内执行参数级洗牌，以破坏持续的梯度结构，同时保留ε感知聚合。在四个不同数据集上的实验表明，IntraShuffler将梯度可恢复性降低超过60%，代理推断准确率从0.78降至0.33，同时在不同FL聚合规则下保持了可比的模型效用。

该论文针对苹果公司在其本地差分隐私（LDP）系统中使用的Count Mean Sketch（CMS）机制进行了实际的隐私保证量化研究。苹果的CMS用于从用户设备收集使用数据，其宣称的隐私保证基于ε=4的LDP模型。然而，作者指出该保证仅在单次上报的孤立场景下成立，而现实系统中同一用户会多次上报数据，且不同用户之间可能存在关联。为了评估实际隐私风险，作者提出了池推理攻击（pool inference attacks），该攻击利用攻击者拥有的辅助信息（如用户的部分真实数据）以及观察到的多次CMS上报，通过统计推断来恢复用户的其他敏感属性。实验使用了苹果官方报告中公开的参数（如m=256, h=2, ε=4），并基于模拟数据和真实分布进行评估。结果显示，在苹果部署的参数下，池推理攻击的成功率远高于理论预期：例如，当攻击者已知用户一个hash值对应的位置时，能准确推断出另一个hash值对应的真实值，导致实际隐私损失远超ε=4的理论界限。这表明苹果的CMS机制在实践中无法提供所声称的强隐私保证，尤其对于长期或频繁上报的用户。论文的主要贡献包括：1）首次系统性地对苹果CMS进行实际隐私量化；2）提出池推理攻击框架，可推广到其他LDP机制；3）揭示了理论隐私模型与真实风险之间的差距，呼吁重新评估LDP部署中的参数选择。该研究对隐私保护实践、差分隐私部署的安全性以及监管合规具有重要警示意义。

该论文提出了一种针对基于知识图谱的检索增强生成（Graph RAG）系统的结构知识窃取攻击方法，称为GraphSteal。Graph RAG通过将知识图谱集成到检索管道中，使大语言模型能够利用结构化知识中的实体、关系和多跳依赖。然而，这种结构化知识同时引入了新的隐私风险：攻击者可以通过黑盒交互将Graph RAG系统转化为结构化预言机，逐步获取足够的关联证据以重建隐藏知识图谱的大部分内容。论文提出的重构框架包含两种策略：深度优先启发式搜索（Depth-Wise Heuristic Search）通过递归扩展以实体为中心的线索来提取细粒度的节点属性；广度优先扩散搜索（Breadth-Wise Diffusion Search）通过沿关系诱导的邻域传播来推断图拓扑。在通用医疗场景下的实验表明，该方法能从代表性Graph RAG系统中恢复超过90%的原始知识图谱，高保真地揭示敏感实体、关系和结构依赖。现有防护措施对此攻击的防御效果有限，凸显了保护Graph RAG管道中结构隐私的固有困难。该研究主要面向LLM安全、隐私保护以及RAG系统设计的研究人员。

该论文针对无线加密流量中移动应用指纹识别（AF）攻击面临的四大挑战：隐藏目的地、不可见边界、应用多路复用和开放世界识别，提出了一种新型攻击方法PACKETPRINT。现有AF攻击无法同时解决这些问题，而PACKETPRINT通过结合序列化XGBoost模型和层次化词袋模型，从加密无线流量中准确识别与目标应用相关的用户活动。序列化XGBoost用于捕获流量包的时间序列特征，层次化词袋模型则处理应用内多路复用和开放世界分类。论文在多个挑战性场景下进行了评估，包括开放世界设置、丢包和网络拥塞、不同应用同时使用以及跨数据集识别。实验结果表明：开放世界应用识别的平均F1分数达到0.884，应用内用户动作识别的平均F1分数为0.959。研究揭示了无线流量中应用指纹识别的严重隐私威胁，为防御方理解此类攻击提供了技术细节。

该论文研究了针对表格扩散模型的成员推断攻击（Membership Inference Attack, MIA）。扩散模型在合成表格数据方面表现出色，常被用于共享敏感记录，但其隐私保护能力受到质疑。现有成员推断攻击通常假设单表设置，忽略了真实敏感数据中的多表关系结构。论文指出，在多表场景下评估隐私风险的核心挑战在于如何利用与目标表相关联的辅助信息（如其父表）。然而，在攻击推理时，攻击者只能观察到目标表中目标记录的属性值。为此，作者提出了FERMI（FEature-mapping for Relational Membership Inference）方法，通过将单表特征与关系成员信号相结合来解决这一差距。FERMI 首先在训练阶段利用辅助关系表学习一个特征映射，将多表关系转化为单表特征上的增强信号；在推理时仅需目标记录的属性值即可进行成员推断。实验基于三种表格扩散架构（如 CTGAN、TableDiffusion 等）和三个真实关系数据集（如 IMDB、Airbnb 等），评估了白盒和黑盒设置下的攻击性能。结果显示，FERMI 在假阳性率（FPR）为0.1时，真阳性率（TPR）在白盒设置下比单表基线提升高达53%，在黑盒设置下提升22%。论文的主要贡献在于首次将关系结构引入表格扩散模型的成员推断攻击，并提出了有效的特征映射方法，显著提高了攻击效果。该研究提醒数据发布者：即使在推理时仅释放单表数据，多表关系在训练阶段的存在仍可能被攻击者利用，从而加剧隐私泄露风险。适合从事数据隐私、机器学习安全的研究人员以及使用合成数据发布敏感信息的组织阅读。

本文提出了一种新型的成员推理攻击方法——级联代理成员推理攻击（Cascading and Proxy Membership Inference Attacks）。成员推理攻击旨在判断特定数据点是否被用于训练目标机器学习模型，对模型训练的隐私构成严重威胁。现有的攻击方法通常需要访问目标模型的输出或梯度，或者依赖影子模型进行黑盒攻击，但在黑盒场景下效率较低。本文提出的级联代理攻击方法通过构建多个代理模型来模拟目标模型的行为，并利用级联结构逐步提升攻击精度。具体而言，该方法首先训练一个初始代理模型，然后基于该模型对目标模型的输出进行预测，再使用这些预测作为标签训练下一级代理模型，从而逐步逼近目标模型的决策边界。实验在多个标准数据集（如CIFAR-10、ImageNet）和多种模型架构（如ResNet、CNN）上进行，结果表明该方法在攻击成功率上显著优于传统的单代理模型攻击和基于影子模型的攻击，尤其在目标模型参数不可见或仅提供有限输出信息的情况下。此外，该方法还展示了良好的可迁移性，即在一个数据集上训练的代理模型可以有效攻击其他相似数据集上的目标模型。本文的主要贡献包括：1）提出级联代理攻击的通用框架，可适用于黑盒和白盒场景；2）设计高效的训练策略，减少对目标模型查询次数；3）通过大量实验验证了方法的有效性和鲁棒性。该研究揭示了机器学习模型在隐私保护方面的潜在风险，提醒开发者在部署模型时应考虑更严格的防御措施，如差分隐私训练或输出扰动。

本文针对网站指纹攻击（Website Fingerprinting, WF）在面临流量漂移（Traffic Drift）时性能退化的问题展开研究。随着网络协议更新、网站内容变化以及用户行为模式演变，攻击者基于早期流量样本训练的模型在实际部署中准确率大幅下降。论文提出一种新颖的主动学习与对比学习相结合的适应框架，能够在少量新标记样本的辅助下，持续更新攻击模型以保持高精度。具体地，该框架利用对比学习提取对漂移不敏感的稳定特征，同时通过主动选择最具信息量的未标记样本进行人工标注，有效降低适应成本。在多个真实世界数据集上的实验表明，所提方法在控制标注预算的前提下，能将攻击准确率从传统方法的60%左右提升至85%以上，显著优于现有最佳方法。此外，论文还设计了多种漂移场景模拟，包括渐进式漂移与突变式漂移，验证了方法的鲁棒性。该工作揭示了网站指纹攻击在真实环境中的实际威胁潜力，也为防御方提供了理解攻击者适应能力的重要参考。

该论文研究了从差分隐私（DP）保护的图神经网络（GNN）解释中重建隐藏图结构的安全风险。虽然差分隐私通常被视为发布解释时降低隐私风险的标准手段，但作者证明了仅依赖DP并不足够：攻击者仅观察到经过DP扰动的GNN解释，就能以高精度重建原始图结构。作者提出的攻击方法PRIVX利用了高斯DP机制实质上是已知噪声水平σ(ε)下的单步DDPM（去噪扩散概率模型）前向过程，将重建问题转化为以被污染信号为条件的反向扩散，从而成为在已知DP扰动下的贝叶斯去噪器。论文形式化了一个分层攻击者模型，参数为(M, ε̂, δ̂, S, ρ)，可插值从无信息攻击者到全能攻击者，并推导了重建AUC的端点匹配双边界。针对实践者，论文提供了关于解释器选择的按状态分层指导：在同质图上，相同DP预算下，邻域聚合解释器（如GraphLIME、GNNExplainer）比逐节点梯度解释器泄露更多结构；而在强异质图上顺序相反。此外，论文引入PRIVF作为辅助诊断工具，共享相同的扩散骨干，用于将泄露分解为解释器引起的部分和内在图分布引起的部分。在七个基准数据集、三种DP机制和三种GNN主干网络上的实验表明，PRIVX在五个数据集上实现了AUC大于0.7（ε=5），且攻击在典型部署的隐私预算内成功。

该论文提出了一种针对图神经网络（GNN）的隐私攻击方法LINKTELLER，旨在从GNN模型中恢复私有边信息。研究背景为图结构数据在推荐系统、交通预测等领域的广泛应用，其中节点特征和边信息通常由不同数据持有者掌握，出于隐私考虑，他们需要联合训练协议而非直接共享数据。论文聚焦于边隐私，考虑一个垂直数据分割场景：拥有节点特征的数据持有者Bob将特征发送给拥有邻接信息的Alice，Alice训练GNN并提供推理API给Bob。在推理时，Bob可提供测试节点特征并查询预测结果。LINKTELLER通过影响分析设计对抗性查询，以推断Alice持有的私有边信息。实验在8个归纳式数据集和3个直推式数据集上验证，表明该方法能在不同图密度下显著恢复大量私有边，性能优于现有基线。此外，论文评估了差分隐私GCN（DP GCN）机制对此攻击的鲁棒性，并提出了基于拉普拉斯机制的LAPGRAPH方法。实验显示，在弱隐私保证（ε>5）下，DP GCN机制对LINKTELLER并不总是鲁棒。该研究为设计更鲁棒的隐私保护GCN模型提供了方向，并深入探讨了GCN模型效用与隐私攻击鲁棒性之间的权衡。

联邦学习（Federated Learning）因其能够保护参与者数据隐私而闻名。然而，近期出现的模型逆向攻击（Model Inversion Attacks, MIAs）表明，恶意的参数服务器可以从模型更新中重建用户的本地数据样本。现有的最先进攻击要么依赖计算密集型的迭代优化方法来重建每个输入批次，导致难以扩展；要么需要恶意参数服务器在全局模型架构前添加额外模块，使得攻击过于显眼且容易被检测。为了克服这些局限，本文提出了Scale-MIA，一种新型的模型逆向攻击，能够高效且准确地从聚合模型更新中重建本地训练样本，即使系统受到鲁棒的安全聚合（Secure Aggregation, SA）协议保护。Scale-MIA利用模型的内部架构，将潜在空间（Latent Space）识别为破坏隐私的关键层。它将复杂的重建任务分解为创新的两步过程：第一步，利用精心设计的线性层，通过闭式反演机制从聚合模型更新中重建潜在空间表示（LSRs）；第二步，将LSRs输入微调后的生成式解码器，重建整个输入批次。作者在常用机器学习模型上实现了Scale-MIA，并在多种设置下进行了全面实验。结果表明，与最先进的MIAs相比，Scale-MIA在不同数据集上均取得了优异的性能，在更大规模下表现出高重建率、高准确性和高攻击效率。代码已开源。