arXiv:2404.05403v2 宣告类型: 替换-交叉 摘要: 联邦学习（FL）使多个客户端在不暴露原始数据的情况下进行协作模型训练。然而，近期的研究表明，在FL中，客户端的私有训练数据可以从共享的梯度中重建，这种漏洞被称为梯度反转攻击（GIAs）。虽然GIAs在理想设置和辅助假设下已经显示出有效性，但它们实际效果对抗实际的FL系统仍然未被充分探索。为填补这一空白，我们在本文中进行了一项全面的研究。我们首先进行了GIAs的文献综述，建立了时间线以追溯其演变过程，并发展了一种系统化方法以揭示其固有的威胁。通过重新思考GIAs在实际FL系统中的情况，我们确定了三项影响GIAs有效性的重要方面：**训练设置**、**模型**和**后处理**。根据这些方面，我们对现有的最佳GIAs在多种设置下的理论和实证评估进行了广泛的研究。我们的发现突显了GIAs有明显的**限制**、**脆弱性**以及**易于防守**。具体而言，GIAs在对抗实际本地训练设置时显示出固有的限制。此外，它们的效果对训练模型高度敏感，甚至简单的梯度后处理技术就能作为有效的防御手段。我们的研究为GIAs在实际FL系统中的有限威胁提供了宝贵的见解。通过纠正先前的误解，我们希望激励更准确和现实的研究。