Harvesting Private Medical Images in Federated Learning Systems with Crafted Models

Federated Learning（FL）允许一组客户端在不暴露本地训练样本的情况下协同训练机器学习模型。在这种情况下，它被认为是隐私保护的，因此已被医疗中心采用来在私有数据上训练机器学习模型。然而，在本文中，我们提出了一种名为MediLeak的新攻击，它使恶意参数服务器能够从客户端上传的模型更新中恢复高保真病人图像。MediLeak需要服务器通过在原始模型架构前添加一个精心设计的模块来生成对抗模型。它在常规的FL训练过程中发布给客户端，每个客户端在其上进行本地训练以生成相应的模型更新。然后，根据FL协议，模型更新被发送回服务器，我们提出的分析方法从精心设计的模块的参数更新中恢复私有数据。我们对MediLeak进行了全面的分析，并表明它可以成功地破解最先进的加密安全聚合协议，这些协议旨在保护FL系统免受隐私推断攻击。我们在MedMNIST和COVIDx CXR-4数据集上实现了MediLeak。结果显示，MediLeak可以几乎完美地恢复高保真私有图像，并获得高恢复率和定量分数。我们进一步对恢复的数据进行了疾病分类等下游任务的实验，结果显示与使用原始训练样本相比，性能没有显著下降。

本文旨在解决联邦学习中的隐私泄露问题，提出了一种名为MediLeak的攻击方法，可以从客户端上传的模型更新中恢复高保真度的患者图像。

MediLeak需要服务器在原始模型架构前添加一个精心设计的模块，生成对抗模型。通过分析对抗模型的参数更新，可以成功地从联邦学习系统中恢复私人数据。

实验结果表明，MediLeak可以几乎完美地恢复高保真度的患者图像，并在使用恢复数据进行疾病分类时表现出与使用原始训练样本相当的性能。本文提供了详细的分析，并展示了MediLeak可以成功突破现有的加密安全聚合协议。

相关研究包括使用联邦学习进行医疗图像分类的其他工作，如Secure and Efficient Federated Learning with Sparse Ternary Communication和Towards Privacy-Preserving Visual Recognition via Adversarial Training等。