联邦学习能否真正大规模保护用户数据隐私？

联邦学习究竟如何保护隐私？

联邦学习通过将原始数据保留在用户设备或本地服务器上，仅与中央服务器共享模型更新（如权重或梯度）来保护隐私。这意味着敏感信息永远不会离开其原始位置。在2024年一项涉及英国四家医院集团的研究中，联邦学习利用13万零941名患者的数据训练了新冠肺炎筛查测试，而没有任何患者数据离开医院——存储本地数据的microSD卡在研究结束后被物理销毁[2]。类似地，2023年一项关于石榴叶病害的研究使用了五个独立的客户端数据集训练本地模型，随后仅将模型参数整合为全局模型，在保留数据所有权的同时实现了93.74%-97.71%的准确率[1]。其核心理念很简单：算法走向数据，而非数据走向算法。

这种方法还能实现因隐私法规限制而无法进行的协作。在医学影像领域，2023年一项关于脑肿瘤分割的研究采用了联邦学习，涉及50至100个客户端。随着更多客户端的加入，分割精度指标（Dice系数）从0.89提升至0.96，且全程无需共享患者扫描数据[3]。研究作者指出，传统的集中式方法常因数据共享面临法律与伦理障碍，而联邦学习通过设计天然规避了这些问题[3]。因此，从基本层面来看，联邦学习确实兑现了其承诺：让模型从分布式数据中学习，同时无需暴露这些数据。

哪些隐藏风险可能破坏隐私保护？

尽管联邦学习在设计上注重隐私保护，但它仍容易受到攻击——攻击者可以从模型更新本身重建私有数据。2026年的一项研究提出了Sleight，这是一种利用参数共享嵌入隐藏模型来系统性提取敏感信息的数据重建攻击[4]。与早期只能生成低分辨率图像或容易被梯度监控检测到的攻击不同，Sleight能够处理高分辨率图像，并成功规避了五种最先进的检测方法[4]。该攻击对FedAvg和FedSGD这两种最常见的联邦学习算法均有效，这意味着当前没有任何标准配置是免疫的[4]。这是一个严重的警示：隐私保护的强度完全取决于对此类重建攻击的防御能力。

另一个隐藏风险来自参与者本身。2021年一项关于可信联邦学习的研究发现，数据分布较不典型且样本量较大的代理更可能篡改算法或完全退出[6]。作者利用风险边界证明，联邦学习之所以有用——即非平衡、非独立同分布的数据——恰恰也催生了作弊动机[6]。他们设计了强制诚信参与的机制，但这增加了复杂性和成本。因此，隐私问题不仅关乎外部攻击者，还在于确保所有参与者遵守规则。

联邦学习能否在不牺牲隐私的前提下实现规模化？

是的，联邦学习可以扩展到数百个客户端，同时保护隐私，但其中的权衡变得更加复杂。脑肿瘤分割研究表明，将客户端数量从50个增加到100个，实际上使Dice系数从0.89提升至0.96，这意味着更多参与者在不损害隐私的前提下带来了更高的准确性[3]。新冠肺炎筛查测试在覆盖130,941名患者的四个医院组中展开，AUROC（受试者工作特征曲线下面积）达到0.872-0.917，优于任何单一站点训练的模型[2]。这些结果表明，扩展规模能够提升模型性能。

然而，规模化也带来了新的挑战。2021年关于联邦学习系统的调查指出了六个设计维度——数据分布、模型类型、隐私机制、通信架构、联邦规模及激励机制——这些维度在系统扩展时相互影响[5]。例如，一项关于忠实联邦学习的研究发现，其可扩展机制需要对参与者进行聚类并添加差分隐私，这就在隐私保护、所需训练轮次和支付精度之间形成了三方权衡[6]。在实践中，这意味着随着规模扩大，为了维持强大的隐私保障，你可能需要接受更慢的训练速度或更不精确的激励支付。关键在于：规模化是可行的，但需要精心的系统设计，且往往涉及妥协。

本文引用的文献

石榴叶病害的可扩展性与隐私严重性分析：基于CNN的联邦学习方法

基于CNN的联邦学习在五个客户端数据集上实现了93.74%-97.71%的准确率，用于石榴叶病害检测，且无需共享原始数据。

2023 · Shiva Mehta, Vinay Kukreja, Satvik Vats, Manika Manwal · ICCCNT

原文

一种面向二级医疗的可扩展联邦学习解决方案，基于低成本微型计算：在英国医院中实现隐私保护的COVID-19筛查测试开发与评估。

跨四个英国医院集团（共130,941名患者）的联邦学习，与本地模型相比，将COVID-19筛查的AUROC平均提升了27.6%，且无需集中任何患者数据。

2024 · Andrew A S Soltan, Anshul Thakur, Jenny Yang, Anoop Chauhan, Leon G D'Cruz, Phillip Dickson, Marina A Soltan, David R Thickett, David W Eyre, Tingting Zhu, David A Clifton · The Lancet. Digital health

原文

通过可扩展的联邦学习与先进的数据隐私及安全措施提升脑肿瘤分割精度

联邦学习在脑肿瘤分割中的应用，当客户端数量从50扩展到100时，将Dice系数从0.89提升至0.96，表现优于集中式CNN和RNN方法。

2023 · Faizan Ullah, Muhammad Nadeem, Mohammad Abrar, Farhan Amin, Abdu Salam, Salabat Khan · Mathematics

原文

Sleight：联邦学习中的隐藏数据隐私泄露

Sleight攻击能够从联邦模型中重建高分辨率隐私图像，成功规避五种最先进的检测方法，并同时适用于FedAvg和FedSGD两种联邦学习算法。

2026 · Xueluan Gong, Yuji Wang, Shuike Li, Mengyuan Sun, Songze Li, Chen Chen, Qian Wang, Kwok-Yan Lam · IEEE Trans. Dependable Secur. Comput.

原文

联邦学习系统综述：数据隐私与保护的愿景、炒作与现实

一项综合性调查将联邦学习系统划分为六个维度，并指出数据分布、隐私机制和通信架构的设计选择对可扩展性与隐私性具有关键影响。

2021 · Qinbin Li, Zeyi Wen, Zhaomin Wu, Sixu Hu, Naibo Wang, Yuan Li, Xu Liu, Bingsheng He · IEEE Trans. Knowl. Data Eng.

原文

忠实边缘联邦学习：可扩展性与隐私保护

在非独立同分布数据下，拥有更多样本的智能体更倾向于作弊或退出；所提出的DP-FFL机制能够实现隐私保护、训练轮次与支付精度三者之间的权衡。

2021 · Meng Zhang, Ermin Wei, Randall Berry · IEEE J. Sel. Areas Commun.

原文