背景與挑戰:聯邦學習在異質場景的脆弱性
聯邦學習(Federated Learning, FL)透過多方協作訓練共用模型,同時保護用戶資料隱私。然而,隨著實務部署進入高度異質的生產環境,客戶端在資料分布、通信能力與模型架構上存在顯著差異,導致傳統的聚合策略難以兼顧性能與安全性。根據 arXiv:2508.03579v2 論文指出,惡意客戶端可利用高維參數空間進行投毒(poisoning)攻擊,進而大幅降低全域模型效能,且攻擊痕跡更難被偵測。
核心觀察:LoRA-A 輸入投影的高穩定性
為降低攻擊面積並提升偵測效果,本文作者提出以低秩適配器(Low-Rank Adaptations, LoRAs)替代完整參數聚合。實驗發現,LoRA 可分為輸入投影(LoRA-A)與輸出投影(LoRA-B),其中 LoRA-A 在異質環境及投毒攻擊下表現出的梯度與特徵分佈更為穩定。基於此觀察,Horus 框架僅聚合 LoRA-A 參數,同時利用其穩定性作為後續客戶端篩選與重加權的關鍵依據。
Horus 架構:LoRA 插件與降維聚合流程
Horus 採用「插入—提取—聚合」三階段流程。首先,在每個客戶端模型中選擇若干經典穩定層(如 Transformer 自注意力層、ResNet 卷積層),插入 LoRA-A 與 LoRA-B 插件;其次,本地訓練僅回傳 LoRA 參數並丟棄原始全參數,降低通信負擔與攻擊面;最後,伺服器僅對 LoRA-A 進行初步聚合,再結合一致性度量重加權,以保留合作信號並抑制偏移。此方法遵循 Apache 2.0 授權,並符合 GDPR 資料最小化原則。
異質性-無關的過濾:Heterogeneity-Oblivious Poisoning Score
Horus 首創「異質性-無關投毒分數」(Heterogeneity-Oblivious Poisoning Score, HOPS),利用 LoRA-A 特徵向量計算每個客戶端的異常指標。具體而言,對比本次更新與歷史全域方向的餘弦相似度,並結合特徵分佈方差,得出綜合分數。分數高於門檻的客戶端將被視為可疑並暫時剔除;門檻根據通訊次數與累積一致性動態調整,減少隱性偏差。
投影感知的重加權聚合機制
對於通過篩選的良性客戶端更新,Horus 引入「投影感知聚合」(Projection-Aware Aggregation)。此機制對 LoRA-A 梯度進行全局方向校正,並以一致性係數重加權各客戶端貢獻。根據 2023 年 Neural Information Processing Systems 期刊(NeurIPS)報告,此類一致性重加權能在異質性高度波動的場景下,顯著減少模型漂移,提升最終準確率達 2% 以上。
實驗結果:跨資料集、架構與攻擊下的優異表現
作者在 CIFAR-10、ImageNet Subset、Shakespeare 等多樣資料集,以及 CNN、Transformer 等不同模型架構中進行廣泛測試。根據論文中提供的 Benchmark,比較 Horus 與 Trimmed-Clustering、FLTrust、FLAME 等基線方法:在標準投毒攻擊(如 Label Flipping、Backdoor)下,Horus 在準確率、Robust Accuracy 兩項指標平均提升 5–10%;在回合收斂速度方面,也比傳統聚合快 15% 以上。
實戰應用與後續展望
Horus 展現了低秩適配器在防禦攻擊與提升效能上的雙重優勢。對於大型企業與跨國組織而言,可在保留核心模型架構的前提下,只要插入輕量 LoRA 插件,即可強化邊緣裝置(Mobile, IoT)及多資訊場景中的安全性。未來可考慮將 Horus 與差分隱私(DP-FedAvg)結合,或在通信受限場景下進一步優化壓縮與螺旋式聚合策略,以應對更嚴峻的攻擊威脅。
