Covert Attacks on Machine Learning Training in Passively Secure MPC

📄 arXiv: 2505.17092v1 📥 PDF

作者: Matthew Jagielski, Daniel Escudero, Rahul Rachuri, Peter Scholl

分类: cs.CR, cs.LG

发布日期: 2025-05-21

💡 一句话要点

揭示被动安全MPC训练中隐蔽攻击的风险,强调主动安全协议的重要性

🎯 匹配领域: 支柱一:机器人控制 (Robot Control)

关键词: 安全多方计算 隐私保护机器学习 主动攻击 被动攻击 模型安全 数据隐私 隐蔽攻击

📋 核心要点

  1. 现有被动安全MPC训练协议容易受到隐蔽攻击,攻击者可以在不被发现的情况下破坏模型完整性和数据隐私。
  2. 论文提出针对被动安全MPC训练协议的攻击方法,攻击者可以重构训练数据或破坏模型,且被检测风险极低。
  3. 研究结果表明,在隐私保护机器学习中,仅考虑被动安全是不够的,应重视主动安全MPC协议的使用。

📝 摘要(中文)

安全多方计算(MPC)允许数据所有者在联合数据上训练机器学习模型,同时保证底层训练数据的隐私性。MPC的威胁模型通常考虑被动攻击者(仅腐化部分参与方但不影响其行为)或主动攻击者(可修改被腐化参与方的行为)。在某些情况下,主动安全性可能被认为不重要,部分原因是参与方作弊被发现后可能面临声誉损失的风险。本文展示了主动攻击者可以对现有被动安全MPC训练协议发起的显式、简单且有效的攻击,并且几乎没有被检测到的风险。这些攻击会危及模型的完整性和隐私,包括重构精确训练数据的攻击。研究结果挑战了在PPML背景下,不考虑参与方恶意行为的威胁模型是合理的这一观点,从而推动了使用主动安全协议进行训练。

🔬 方法详解

问题定义:论文旨在揭示在被动安全多方计算(MPC)环境中训练机器学习模型时存在的安全漏洞。现有被动安全MPC协议假设参与方不会主动作弊,但这种假设在实际应用中可能不成立。攻击者可以通过精心设计的恶意行为,在不被发现的情况下破坏模型的完整性和隐私,甚至恢复原始训练数据。现有方法的痛点在于,它们无法有效防御这种隐蔽的主动攻击。

核心思路:论文的核心思路是设计针对被动安全MPC训练协议的特定攻击方法,证明即使在参与方试图隐藏其恶意行为的情况下,攻击者仍然可以成功实施攻击。通过展示这些攻击的有效性,论文旨在强调在隐私保护机器学习中采用主动安全MPC协议的必要性。

技术框架:论文没有提出新的MPC协议,而是分析了现有被动安全MPC协议的漏洞。攻击框架通常包括以下步骤:1) 攻击者选择目标模型和训练数据。2) 攻击者分析被动安全MPC协议的实现细节。3) 攻击者设计特定的恶意输入或计算步骤,以达到破坏模型或泄露数据的目的。4) 攻击者执行攻击,并评估攻击效果。

关键创新:论文的关键创新在于展示了针对被动安全MPC训练协议的隐蔽攻击,这些攻击具有以下特点:1) 简单易实现:攻击方法不需要复杂的密码学技术。2) 高效:攻击可以在合理的时间内完成。3) 隐蔽性强:攻击者几乎没有被检测到的风险。与现有方法相比,论文强调了在被动安全假设下,攻击者可以利用协议的漏洞进行恶意操作,而无需担心被发现。

关键设计:论文没有涉及具体的参数设置或网络结构,而是关注攻击方法的设计。攻击的关键在于精心构造恶意输入或修改计算过程,使得攻击效果能够最大化,同时避免触发安全机制的警报。具体的攻击方法取决于所使用的被动安全MPC协议的细节,例如,攻击者可以通过修改梯度信息来影响模型的训练结果,或者通过分析中间计算结果来推断原始训练数据。

🖼️ 关键图片

fig_0
fig_1

📊 实验亮点

论文通过实验证明了针对被动安全MPC训练协议的攻击是有效的。攻击者可以在不被发现的情况下,成功地重构训练数据或破坏模型。这些实验结果表明,被动安全MPC协议在面对恶意攻击者时存在严重的安全漏洞,需要采取更强的安全措施。

🎯 应用场景

该研究成果对隐私保护机器学习领域具有重要意义。它提醒研究人员和从业者,在设计和部署MPC训练协议时,不能仅仅依赖被动安全假设,而应该考虑更强的安全模型,例如主动安全MPC。这有助于提高机器学习模型的安全性和可靠性,保护用户数据的隐私。

📄 摘要(原文)

Secure multiparty computation (MPC) allows data owners to train machine learning models on combined data while keeping the underlying training data private. The MPC threat model either considers an adversary who passively corrupts some parties without affecting their overall behavior, or an adversary who actively modifies the behavior of corrupt parties. It has been argued that in some settings, active security is not a major concern, partly because of the potential risk of reputation loss if a party is detected cheating. In this work we show explicit, simple, and effective attacks that an active adversary can run on existing passively secure MPC training protocols, while keeping essentially zero risk of the attack being detected. The attacks we show can compromise both the integrity and privacy of the model, including attacks reconstructing exact training data. Our results challenge the belief that a threat model that does not include malicious behavior by the involved parties may be reasonable in the context of PPML, motivating the use of actively secure protocols for training.