可用即脆弱？VENOM擊穿縱向聯邦學習

縱向聯邦學習旨在讓不同機構在不直接共享原始數據的情況下開展聯合建模，因此被廣泛認為是金融、醫療、物聯網和推薦系統等場景中的重要隱私計算范式。

在該范式廣泛使用的分割學習框架中，客戶端利用本地私有特征和底部模型生成中間表征，并將其發送給中央服務器進行后續訓練與推理。

然而，這種安全感并不意味著風險已經消失：在廣泛采用的分割學習框架下，客戶端雖然不直接暴露原始特征，卻會持續向服務器發送中間表征，而這些看似 “脫敏” 的表示，仍可能成為模型竊取的突破口。

已有研究表明，誠實但好奇的服務器可以通過輔助查詢收集 “輸入-表征” 對，并訓練代理模型對客戶端的底部模型進行竊取。針對這一威脅，現有工作主要通過加噪、投影、剪枝或多分支解耦等方式擾動表征，以削弱點對點擬合式攻擊的效果。

近日，紐約州立大學石溪分校、史蒂文斯理工學院和紐約大學的一個聯合研究團隊發現：現有防御雖然能夠擾亂中間表征的顯式形式，卻很難徹底消除其局部幾何結構。原因并不復雜：服務器側模型想要維持預測性能，就必須繼續依賴表示空間中的語義關系。換句話說，如果防御把 “相似樣本彼此接近、不相似樣本彼此分離” 這一基本結構破壞得太嚴重，模型效用本身也會明顯下降。

這意味著，很多防御實際上陷入了一個兩難：

• 如果保留太多結構信息，攻擊者就可能順著這些結構恢復模型能力；
• 如果結構破壞得過于徹底，系統本身的任務性能又難以維持。

也正因為如此，防御后的表征中往往仍然殘留著一部分 “為了可用性不得不保留” 的局部幾何信息。而這部分信息，恰恰可能成為新的安全突破口。相比于直接擬合每一個中間表征的精確數值，研究團隊將注意力轉向了一個更穩定、也更容易跨越防御擾動的對象：樣本之間的局部幾何關系。

在此背景下，該聯合團隊提出了一項直擊上述痛點的最新研究。紐約州立大學石溪分校李健老師團隊博士生張欽博提出了一種名為VENOM的基于幾何感知的縱向聯邦學習模型竊取攻擊框架，該工作目前已被 CVPR 2026 主會錄用。

論文標題：Stealing Split Learning Bottom Models by Recovering Embedding Geometry

VENOM 方法與創新

該研究團隊提出了基于幾何感知的縱向聯邦學習模型竊取攻擊框架 VENOM。

該方法首先利用服務器側可觀察到的中間表征學習一個更穩定的對比表示空間，從而緩解防御機制帶來的坐標擾動問題；隨后，在這一學習到的對比空間中挖掘每個樣本的 K 近鄰與 K 遠鄰關系，構建局部幾何支架；最后，在訓練代理模型時，不僅要求其逐點逼近目標表征，還額外通過鄰居吸引與遠鄰排斥機制，使代理模型恢復目標底部模型中間表征流形的局部結構。

實驗結果

研究團隊在 Bank、SUSY、Diabetes、MNIST、CIFAR-10 和 NUS-WIDE 六個數據集以及不同的底部模型上評估了 VENOM 的竊取效果。測試指標采用竊取準確率（S-ACC）和預測一致率（AGR）。

實驗結果表明，VENOM 在多種防御場景下均優于基于距離對齊的竊取方法。這表明，現有防御方法雖然能夠在一定程度上擾亂表征坐標，卻未必能夠真正切斷攻擊者對局部幾何信息的利用。只要模型效用仍然要求表示空間保留一定的語義組織能力，那么這部分結構就可能變成安全上的殘余通道。

換言之，模型之所以 “還能用”，某種程度上也意味著它就 “可被利用”。

研究者還對 VENOM 的各個組件進行了消融實驗，以驗證其必要性。

論文還進一步驗證了該方法在輔助數據分布發生偏移時的有效性。實驗結果顯示，當攻擊者獲得的輔助數據與目標任務并非完全同分布、但仍保持一定語義相近性時，VENOM 依然能夠維持較高的竊取性能。

具體而言，在 CIFAR-100 和 Tiny-ImageNet 等近分布外輔助數據上，方法性能雖有一定下降，但整體仍顯著優于現有基線。這說明，VENOM 所利用的并不是某一組樣本的偶然匹配，而是目標模型表示空間中更一般化的結構特征。只要輔助數據與目標任務在語義層面仍存在一定關聯，攻擊者就有機會借助這些結構信息完成有效竊取。