联邦学习（FL）中的源推断攻击（SIA）旨在识别哪个客户端使用了目标数据点进行本地模型训练。它允许中央服务器审计客户端的数据使用情况。在跨数据孤岛的 FL 中，一个客户端（数据孤岛）会从多个主体（例如，个人、作者或设备）收集数据，这会带来主体信息泄露的风险。主体成员推断攻击（SMIA）针对这种情况，并试图推断在跨数据孤岛的 FL 中，是否有任何客户端使用来自目标主体的數據点。然而，现有的关于 SMIA 的结果是有限的，并且基于对攻击场景的强假设。因此，我们提出了一个主体级源推断攻击（SLSIA），它消除了 SIA 中只有单个客户端可以使用目标数据点的关键约束，以及 SMIA 中对使用目标主体数据的客户端进行不精确检测的限制。攻击者位于服务器端，控制一个目标数据源，并试图检测所有使用来自目标主体的數據点的客户端。我们的策略利用二元攻击分类器来预测本地模型在来自目标主体的测试数据上返回的嵌入是否包含表明客户端使用来自该主体的數據点训练模型的独特模式。为了实现这一点，攻击者使用来自目标主体的數據点派生的數據在本地预先训练模型，然后利用它们构建二元攻击分类器的训练集。我们的 SLSIA 在三个数据集上明显优于以前的方法。具体来说，SLSIA 在 50 个目标主体上实现了 0.88 的最大平均准确率。分析嵌入分布和输入特征距离表明，具有稀疏主体的數據集更容易受到我们的攻击。最后，我们建议使用项目级和主体级差分隐私机制来防御我们的 SLSIA。