联邦学习安全漏洞 - Scaffold联邦学习通过控制变元校正客户端梯度偏移，显著提升非IID数据下的模型收敛性，但引入新的安全攻击面[7][8] - 控制变元机制可能被恶意篡改，引导良性客户端梯度朝中毒方向更新，放大后门攻击效果[8][9] - BadSFL攻击利用GAN生成对抗样本补充非IID数据知识，结合控制变元操控实现高隐蔽性后门植入[11][19] BadSFL攻击技术 - 采用三阶段攻击流程：GAN数据补全→隐蔽触发器设计→控制变元优化，使后门模型更接近全局最优解[21][22] - 创新性使用控制变元预测全局模型收敛方向，通过公式(3)优化后门持久性，攻击效果可持续60轮以上[25][28][30] - 基于特征的后门触发器（如CIFAR-10中绿色汽车）攻击成功率超80%，主要任务准确率保持60%[29][34] 实验验证结果 - 在CIFAR-10/100和MNIST数据集上，BadSFL后门准确率超90%，比基准方法持久性提升3倍[33][37] - 攻击停止后仍能维持5倍于基准的攻击持续时间，标签翻转攻击中后门准确率衰减速度降低10%[37] - GAN数据增强使攻击者本地模型更接近全局最优解，减少因非IID分布导致的性能偏差[21][22] 行业影响 - 揭示Scaffold聚合算法的设计缺陷，控制变元机制可能成为联邦学习系统的新攻击向量[8][12] - 非IID场景下的安全威胁需重新评估，传统IID防御方案对控制变元操控类攻击无效[16][18] - 该研究已入选ICCV 2025，可能推动联邦学习安全防御技术的迭代升级[3][39]