近日,永乐高60net李松泽教授团队研究成果被2026 USENIX Security Symposium录用。论文第一作者为李松泽教授团队永乐高60net博士研究生朱晨清。
论文题目为“When the Aggregator Cheats: Data-Free Backdoors in Federated LLM-based QA Systems”。随着大语言模型问答系统在医疗、心理健康、法律咨询等隐私敏感场景中的快速应用,联邦学习被广泛用于在不共享客户端原始数据的情况下协同训练模型。然而,现有研究通常默认服务器端聚合器只负责模型聚合,较少关注其可能主动操控最终模型行为所带来的安全风险。本文聚焦这一被忽视的威胁场景,研究恶意聚合器能否在无法直接访问客户端原始数据的条件下,仅利用训练过程中上传的模型更新信息,在最终联邦大模型中隐蔽植入广告式后门。
本文提出一种无需访问客户端原始数据的服务器端后门攻击方法。攻击者首先从客户端上传的梯度中恢复具有代表性的训练语义线索,再借助外部大模型重构近似问答样本并注入触发内容,最后在模型部署前对聚合后的全局模型进行单次微调。实验结果表明,该方法在医疗、心理健康和法律咨询等多个问答场景,以及多种大语言模型和联邦训练设置下均能实现接近100%的攻击成功率;同时,在正常问题下,模型回答质量基本不受影响。该研究揭示了联邦大模型训练流程中的新型服务器端安全风险,说明“数据不出本地”并不等价于训练过程整体安全
联邦大模型问答系统中的服务器端广告后门攻击流程示意图
USENIX Security Symposium与IEEE S&P、ACM CCS、NDSS并称为网络与信息安全领域四大顶级学术会议,也是中国计算机学会推荐的A类会议。近年来,USENIX Security录用率长期保持在较低水平,2025年共录用407篇论文(录用率为17.1%)。被录用论文代表了网络空间安全领域国际前沿研究水平。
(文字:朱晨清 审核:张璐)
