arXiv:2502.05211v1 公告类型: cross 摘要：尽管社区已经设计了各种防御措施来应对联邦学习（FL）中的中毒攻击威胁，但这些防御措施缺乏评估指南。这些防御措施在实验设置中容易陷入细微的陷阱，导致一种虚假的安全感，使得它们不适合实际部署。在本文中，我们系统地理解和识别这些问题，并提供更好的解决方案来应对这些挑战。首先，我们沿着三个维度设计了一个全面的FL防御系统化方案：i) 客户端更新的处理方式，ii) 服务器所知的内容，iii) 防御措施的应用阶段。接下来，我们全面回顾了50篇顶级防御论文，并确定了它们评价框架中常用的组件。基于这一回顾，我们揭示了六个不同的陷阱，并研究了这些陷阱的普遍存在性。例如，我们发现在这些工作中有大约30%的工作仅使用固有鲁棒的MNIST数据集，而有40%的工作采用了简单的攻击方法，这可能会无意中将它们的防御措施描绘为鲁棒的。使用三种具有代表性的防御措施作为案例研究，我们进行了一次关键性的再评估，以研究已识别陷阱的影响，并展示了这些陷阱如何导致对鲁棒性的错误结论。我们提供了可操作的建议，以帮助研究人员克服每个陷阱。