几家工厂想一起改进工艺,又不愿交出各自的实验记录,于是只共享“怎么调模型”的信号。听起来数据没有出门,隐私就保住了。但这篇论文指出,攻击者仍可能从梯度——告诉模型参数往哪边调整的更新信号——反推出客户的观测位置。
作者提出 PACD-BO,让多个客户协作进行分布式贝叶斯优化:系统先用概率模型判断哪些区域更值得做下一次昂贵试验,再汇总各客户的梯度,学习可共享的经验。论文最值得注意的发现是,泄露风险会随搜索推进而加重。因为查询逐渐聚集到最优点附近,观测位置更集中,梯度反演攻击也更容易重建这些信息。换句话说,优化越接近成功,隐私暴露反而可能越明显。
作者还测试了任务级差分隐私:限制单个客户对更新的影响,并加入高斯噪声,让攻击者更难判断或还原其数据。不过保护越强,优化效率或效果所受影响也可能越大。论文据此提醒,“原始数据不出域”只是起点,协作系统还必须把共享更新本身纳入隐私设计。