arXiv:2505.06335v1 宣布类型: cross 摘要：联邦学习（FL）有可能在大量并行代理之间同时进行全球学习，从而使诸如LLM之类的新兴AI能够在人口统计学上多样化的数据上进行训练。这一过程的关键在于联邦学习能够有效地执行稀疏梯度更新和远程直接内存访问，这种能力可以在中央服务器上实现。目前，FL安全领域的大多数研究都集中在保护边缘客户端的数据隐私或客户端与服务器之间的通信通道。客户端针对服务器的攻击较少被研究，因为在假设众多客户端能够提供弹性的情况下，服务器被视为安全的。 在这里，我们展示了通过攻击某些导致服务器频繁重复内存更新的客户端，可以在远程引发rowhammer攻击，从而攻击服务器内存。这是首次无需后门访问服务器，并且一个强化学习（RL）攻击者能够通过操纵客户端的传感器观察来学会最大化服务器的重复内存更新。远程rowhammer攻击的后果是能够实现位翻转，从而破坏服务器内存。我们使用大规模的FL自动语音识别（ASR）系统和稀疏更新来验证了这种攻击的可行性，在目标服务器模型中，我们的 adversarial攻击代理能够实现约70%的重复更新率（RUR），有效地在服务器DRAM上诱导位翻转。安全影响是可能导致学习中断或无意中导致特权提升，这为在FL和硬件设计中进行进一步的实际缓解策略研究铺平了道路。