付冲博士首先介绍了联邦学习的应用背景。数据安全及隐私问题已经得到越来越多国家的关注，一系列出台的相关法律法规禁止任何公司将其储存的用户数据泄露给其他公司，导致互联网公司面临着“数据孤岛”的难题：如果多家公司想要互相合作，整合其各自拥有的数据以训练一个性能更好的机器学习模型，它们将面临违反法律的风险。针对这一困局，联邦学习（Federated Learning，简称FL）提供了一种解决方案。作为一种专注于数据隐私保护的分布式机器学习技术，联邦学习允许多个参与者通过周期性地交换中间计算结果的方式协作训练一个模型，同时不泄露每个参与者的本地原始数据。

紧接着付冲博士介绍了联邦学习根据多个参与方之间在数据及特征空间上的划分方式可以分为水平联邦学习和垂直联邦学习两类。其中，水平联邦学习适用于各个参与方的本地数据集共享相同的特征空间但在样本空间中不同的情况，例如两个地域性银行之间的协作；而垂直联邦学习适用于多个参与方的本地数据集共享同一样本空间但在特征空间中不同的情况，例如某银行和某电子商务平台之间的协作。

联邦学习被认为是一种能够保护各个参与方本地数据隐私的机器学习范式。然而，最近研究表明实际上联邦学习中依然存在间接的数据隐私泄露。付博士指出目前关于水平联邦学习中存在的隐私安全风险已有多个研究方向，例如水平联邦学习中的数据还原攻击、成员推断攻击、属性推断攻击和后门攻击，但是对于工业界中的应用同样越来越广泛的垂直联邦学习中的隐私风险鲜有研究。

因此，付博士对垂直联邦学习场景下的隐私风险进行了重点研究。付博士认为垂直联邦学习在使用场景、联邦模型架构和训练算法等诸多方面与水平联邦学习大不相同，因此具有独特的隐私问题。具体而言，付博士揭示了垂直联邦学习中存在的一种新型隐私风险——标签泄露。在垂直联邦学习架构中只有一个参与者拥有样本的标签。垂直联邦学习必须确保标签的隐私性，因为标签可能是参与者的重要数据资产或者具有高度敏感性。垂直联邦学习中，恶意参与者发起标签推断攻击的动机可能是使用被盗标签建立与受害者类似的业务以进行商业竞争，或将敏感标签出售给地下行业牟取利益。

付博士表示他们发现并证实了恶意参与者可以从其控制的底部模型中提取信息，以推断其他参与者的私有标签。其原因在于：在训练期间，从服务器端传给恶意参与者的梯度促使底部模型学习到关于不同分类标签的良好特征表示，使得底部模型可以被用作标签推断攻击的“预训练模型”，而标签推断攻击的成功率由底部模型的特征提取能力决定。此外，在某些特殊垂直联邦学习情景下，来自服务器的梯度也可能直接泄漏标签信息。紧接着，付博士具体介绍了他们发现的三种标签推断攻击，前两种针对的是采用了模型拆分学习的设计架构，第三种针对的是未采用模型拆分学习的设计架构：

（1）为了利用训练完成的底部模型，攻击者可以采用一种基于“模型补全”的被动式标签推断攻击。实验表明，在少量辅助标记数据的帮助下，恶意参与者可以利用半监督学习将其训练的底部模型微调为完整的标签推断模型。

（2）为了增加恶意底部模型的表现力，从而进一步提高攻击性能，攻击者可以发起主动式标签推断攻击，以引导联邦模型更多地依赖恶意参与者的底部模型。

（3）作为一种特例，对于未采用拆分学习设计的垂直联邦学习架构，攻击者可以使用一种特殊的直接标签推断攻击，该攻击通过分析服务器端发送的梯度的符号来推断标签。

随后，付博介绍了他们在不同类型的数据集、不同架构的模型的不同设置下，对于三种攻击方式的性能和效果进行了测试，并对造成实验结果的原因进行了分析。

此外，付博士评估了四种可能的防御方法：梯度加噪、梯度压缩、隐私保护加固的深度学习 （Privacy-Preserving Deep Learning，简称PPDL）和离散的随机梯度下降（DiscreteSGD）。结果发现，尽管其中一些防御可以较为成功地抵御直接标签推断攻击，以上防御对于被动和主动式标签推断攻击缺乏足够的防御能力。

最后，付博士对他的整个研究内容进行了总结。