在座的其他人都看向唐彻。
唐彻没有立即回答,而是操作笔记本电脑,将一份技术文档投影到墙面屏幕上。
文档是全英文的,密密麻麻的数学公式和代码片段。
“我们采用的是基于ckks方案的改进版本,针对联邦学习场景进行了优化。”
唐彻的声音平稳,手指在触控板上滑动,文档随之翻页,
“具体来说,我们在三个层面做了增强:第一,引入多层次密文打包策略,在保持同态性质的前提下,将通信开销降低了约40;第二,设计了新型的噪声控制算法,将计算深度扩展到可支持复杂神经网络推理的水平;第三,也是最重要的,我们实现了与硬件安全模块的原生集成,将核心密钥操作完全隔离在经共同认证的安全芯片中。”
他调出一张架构图:
“这是整个加密栈的层次结构。最底层是经nist后量子密码学竞赛第三轮筛选出的算法,用于密钥交换和数字签名。中间层是我们的改进型ckks同态加密,用于模型参数的安全聚合。最上层是差分隐私和多方安全计算,用于特定场景下的协同分析。每一层都有完整的数学证明,我们已经将核心代码库开源,并邀请了包括麻省理工学院、斯坦福大学和以色列魏茨曼科学研究所在内的六个独立团队进行审计。审计报告初稿在这里——”
唐彻切换到一个文件列表,上面有六个机构的标志和报告摘要。
他的手指在桌面上轻轻敲击,那是他在思考时的习惯动作。
大约一分钟后,他抬起头:
“我需要原始代码的访问权限,以及你们在awsgovcloud和azuregovernnt上测试环境的入口。”
“。”
唐彻从公文包中取出两个加密u盘,分别推向马克和莎拉·陈,
“这是包含全部源代码和测试脚本的离线副本,使用aes-256-g加密,密码将通过安全信道单独发送。测试环境的访问凭证也在其中,环境已配置了模拟的跨国安全威胁数据集,各位可以亲自验证平台在真实场景下的表现。”
会议室里安静了几秒。
美方官员交换了一下眼神。
他们显然没有预料到镐科会如此开放——
直接将核心代码和测试环境交给他们。
“模型投毒攻击的防御机制,你们在演讲中提到了多维筛选。但针对更隐蔽的后门攻击——比如在训练数据中植入特定触发器,使得模型在遇到特定输入时产生预设的错误输出——你们有什么检测和缓解方案?”
这是个前沿且极其棘手的问题。
近年来,针对机器学习模型的后门攻击已成为学术界和工业界的研究热点,但有效的防御手段仍然有限。
沈烈接过了问题:
“陈博士提到的后门攻击,确实是联邦学习在安全领域应用时必须面对的重大挑战。我们的解决方案是多层次的。”
他在自己的平板电脑上画出示意图,同步投影到屏幕上:
“第一层,在数据进入本地训练之前,我们引入了一种称为‘激活谱异常检测’的技术。简单来说,每个参与方在本地训练时,会记录模型内部神经元的激活模式。正常数据和被植入后门的数据,在激活模式上有统计学上的显着差异。我们设计了一个轻量级检测器,可以实时标记可疑数据样本。”
“第二层,在模型聚合阶段,我们不仅比较参数更新的大小和方向,还分析参数变化的‘轨迹’。一个被植入后门的模型,其参数更新轨迹会偏离正常模式,尤其是在某些特定维度上。我们通过高维统计检验来识别这种偏离。”
“第三层,也是最关键的一层,”
沈烈加重了语气,
“我们在联邦学习的框架上叠加了一个‘模型解释性验证’层。每个参与方在提交模型更新时,必须同时提交对模型决策依据的解释——为什么模型会对某些输入做出特定判断?这些解释会被聚合和比对。如果某个参与方的模型对特定类型的威胁(比如某种恶意软件变种)表现出异常高的识别率,但其解释却模糊不清或与其他方矛盾,系统就会自动标记,并启动人工审查。”。误报率控制在2以下,不会对正常协作造成明显干扰。”
她的笔在纸上快速移动,偶尔停顿思考。
最后,她抬起头:
“我需要测试样本和检测算法的详细描述。特别是那个‘激活谱异常检测’,听起来像是基于深度神经网络内部表示的分析,这在计算上是否过于昂贵?”
“我们使用了知识蒸馏技术,将大型检测模型压缩为小型高效模型,检测延迟在普通服务器上可控制在毫秒级。”
唐彻补充道,并展示了一组性能基准测试数据。