安全聚合无法抵御成员推断攻击

在这篇论文中，我们通过将其视为每个本地更新的局部差分隐私机制，深入探讨了 SecAgg 的隐私影响。我们设计了一种简单的攻击方式，其中一个对抗性的服务器试图在 SecAgg 下的单一训练轮中辨别客户端提交的两个可能的更新向量之一。通过进行隐私审计，我们评估了该攻击的成功概率，并量化了 SecAgg 提供的局部差分隐私保证。我们的数值结果揭示，与普遍的声明相反，即使在单一的训练轮中，SecAgg 在成员推断攻击方面也提供了较弱的隐私。事实上，当高维度更新时，很难通过添加其他独立的本地更新来隐藏一个本地更新。我们的发现强调了在联邦学习中需要额外的隐私增强机制，比如噪声注入。