跳转至

腾讯轻量云独家上线Hermes Agent应用模板 AI智能体云端部署一云搞定

公众号: 机器之心 发布日期: 04月15日 抓取日期: 2026-04-16 URL: https://www.jiqizhixin.com/articles/8b34c19e-3aa7-40ca-9765-93547a1fefce

Title: 可用即脆弱?VENOM击穿纵向联邦学习 | 机器之心

URL Source: https://www.jiqizhixin.com/articles/8b34c19e-3aa7-40ca-9765-93547a1fefce

Markdown Content:

可用即脆弱?VENOM击穿纵向联邦学习 | 机器之心

机器之心

Image 1: 机器之心

Image 2: 未登录

登录

Image 3: empty_user 去登录

Image 4文章库Image 5PRO会员通讯Image 6SOTA!模型Image 7AI ShortlistImage 8: new-iconImage 9AI 好好用

Image 10: 机器之心

文章库PRO通讯会员SOTA!模型AI ShortlistImage 11: new-icon

AI 好好用

Image 12登录

Image 13: home

Image 14: logo文章库

Image 15: icon

Image 16: no-user登录

可用即脆弱?VENOM击穿纵向联邦学习

0%

Image 17: icon展开列表

2026具身智能数据赛道,卷出了一匹「黑马」

04月15日

觅蜂科技(Maniformer)

Image 18: img

从「片段生成」到「长视频漫游」:OmniRoam探索轨迹可控的长视频生成新范式

04月15日

视频生成

Image 19: img

阿里ATH发布AI开发工具Meoo,可一键开发一键部署

04月15日

Meoo(秒悟)

Image 20: img

构建跨越时空的微观实验室:KIMMDY 仿真器实现秒级生物化学反应的动态模拟

04月15日

AI for Science

Image 21: img

实测参考生之王Vidu Q3:这已经不叫AI生成了,这叫AI驱动整个剧组

04月15日

参考生视频

Image 22: img

刚刚,李飞飞世界模型开源了个渲染神器

04月15日

Spark 2.0

Image 23: img

北大联合Llama-Factory推出DataFlex:工业级数据动态训练系统

04月15日

DataFlex

Image 24: img

离谱!我的新上班搭子,居然是个超靠谱的AI

04月15日

TuriX Superpower

Image 25: img

昨天,英伟达开源个量子AI,拉爆美股量子计算概念

04月15日

量子计算

Image 26: img

可用即脆弱?VENOM击穿纵向联邦学习

04月15日

CVPR 2026

Image 27: img

腾讯轻量云独家上线Hermes Agent应用模板 AI智能体云端部署一云搞定

04月15日

Image 28: img

OccuBench 文档宣传: 15个前沿大模型,100个职业场景:谁才是最强AI打工人?

04月15日

OccuBench

Image 29: img

「国家队」下场,德塔智能连续三轮融资超亿元,押注原生人形机器人基础模型

04月15日

具身智能

Image 30: img

OpenAI也搞「Mythos」?刚刚,网络安全版GPT-5.4-Cyber亮相

04月15日

GPT-5.4-Cyber

Image 31: img

速来!巴西不仅有足球,也有蚂蚁的ICLR 2026学术派对

04月14日

蚂蚁集团

Image 32: img

数学的上帝粒子!一个运算符能导出所有基本函数

04月14日

EML

Image 33: img

迎接智能体的「觉醒时刻」:EverOS全球公测开启Agent Memory自进化序章

04月14日

EverOS

Image 34: img

写Verilog、调CUDA,总翻车?工业代码大模型开始学会「先想后写」了

04月14日

北京航空航天大学

Image 35: img

火山引擎:Seedance 2.0 API 服务全面开放

04月14日

火山引擎

Image 36: img

目标更重要?国内公司超越Generalist,进化到动作中心世界模型

04月14日

极佳世界

Image 37: img

Image 38: avatar

机器之心 原创

12小时前

可用即脆弱?VENOM击穿纵向联邦学习

Image 39: 图片 纵向联邦学习旨在让不同机构在不直接共享原始数据的情况下开展联合建模,因此被广泛认为是金融、医疗、物联网和推荐系统等场景中的重要隐私计算范式。

在该范式广泛使用的分割学习框架中,客户端利用本地私有特征和底部模型生成中间表征,并将其发送给中央服务器进行后续训练与推理。

然而,这种安全感并不意味着风险已经消失:在广泛采用的分割学习框架下,客户端虽然不直接暴露原始特征,却会持续向服务器发送中间表征,而这些看似 “脱敏” 的表示,仍可能成为模型窃取的突破口。

已有研究表明,诚实但好奇的服务器可以通过辅助查询收集 “输入-表征” 对,并训练代理模型对客户端的底部模型进行窃取。针对这一威胁,现有工作主要通过加噪、投影、剪枝或多分支解耦等方式扰动表征,以削弱点对点拟合式攻击的效果。

近日,纽约州立大学石溪分校、史蒂文斯理工学院和纽约大学的一个联合研究团队发现:现有防御虽然能够扰乱中间表征的显式形式,却很难彻底消除其局部几何结构。原因并不复杂:服务器侧模型想要维持预测性能,就必须继续依赖表示空间中的语义关系。换句话说,如果防御把 “相似样本彼此接近、不相似样本彼此分离” 这一基本结构破坏得太严重,模型效用本身也会明显下降。

这意味着,很多防御实际上陷入了一个两难:

  • 如果保留太多结构信息,攻击者就可能顺着这些结构恢复模型能力;

  • 如果结构破坏得过于彻底,系统本身的任务性能又难以维持。

也正因为如此,防御后的表征中往往仍然残留着一部分 “为了可用性不得不保留” 的局部几何信息。而这部分信息,恰恰可能成为新的安全突破口。相比于直接拟合每一个中间表征的精确数值,研究团队将注意力转向了一个更稳定、也更容易跨越防御扰动的对象:样本之间的局部几何关系

Image 40: 图片 在此背景下,该联合团队提出了一项直击上述痛点的最新研究。纽约州立大学石溪分校李健老师团队博士生张钦博提出了一种名为 VENOM的基于几何感知的纵向联邦学习模型窃取攻击框架,该工作目前已被 CVPR 2026 主会录用。

Image 41: 图片 论文标题:Stealing Split Learning Bottom Models by Recovering Embedding Geometry

VENOM 方法与创新

该研究团队提出了基于几何感知的纵向联邦学习模型窃取攻击框架 VENOM

Image 42: 图片 该方法首先利用服务器侧可观察到的中间表征学习一个更稳定的对比表示空间,从而缓解防御机制带来的坐标扰动问题;随后,在这一学习到的对比空间中挖掘每个样本的 K 近邻与 K 远邻关系,构建局部几何支架;最后,在训练代理模型时,不仅要求其逐点逼近目标表征,还额外通过邻居吸引与远邻排斥机制,使代理模型恢复目标底部模型中间表征流形的局部结构。

实验结果

研究团队在 Bank、SUSY、Diabetes、MNIST、CIFAR-10 和 NUS-WIDE 六个数据集以及不同的底部模型上评估了 VENOM 的窃取效果。测试指标采用窃取准确率(S-ACC)和预测一致率(AGR)。

Image 43: 图片Image 44: 图片 实验结果表明,VENOM 在多种防御场景下均优于基于距离对齐的窃取方法。这表明,现有防御方法虽然能够在一定程度上扰乱表征坐标,却未必能够真正切断攻击者对局部几何信息的利用。只要模型效用仍然要求表示空间保留一定的语义组织能力,那么这部分结构就可能变成安全上的残余通道。

换言之,模型之所以 “还能用”,某种程度上也意味着它就 “可被利用”

研究者还对 VENOM 的各个组件进行了消融实验,以验证其必要性。

Image 45: 图片 论文还进一步验证了该方法在辅助数据分布发生偏移时的有效性。实验结果显示,当攻击者获得的辅助数据与目标任务并非完全同分布、但仍保持一定语义相近性时,VENOM 依然能够维持较高的窃取性能。

Image 46: 图片 具体而言,在 CIFAR-100 和 Tiny-ImageNet 等近分布外辅助数据上,方法性能虽有一定下降,但整体仍显著优于现有基线。这说明,VENOM 所利用的并不是某一组样本的偶然匹配,而是目标模型表示空间中更一般化的结构特征。只要辅助数据与目标任务在语义层面仍存在一定关联,攻击者就有机会借助这些结构信息完成有效窃取。