【TEE从入门到精通及实战】65 模型逆向攻击进阶：差分隐私与SGX的攻防实战

开篇，我想先讲个真实的故事。2021年，某家医疗AI创业公司，把联邦学习框架部署到了多家三甲医院的影像科。他们自认为做得天衣无缝——模型参数每轮聚合，梯度加了高斯噪声，还用了安全多方计算。直到一位安全研究员用“模型逆向攻击”的变体，从聚合后的全局模型中，还原出了某位患者的肺部CT影像——连病灶边缘的毛刺都清晰可见。问题出在哪？他们只防了“训练时”的梯度泄露，却没防“训练后”的模型参数本身。今天，我们就来拆解这个漏洞，并给出基于SGX+差分隐私的实战解法。痛点拆解：你以为加了噪声就安全了？先看一个典型的“错误实现”——很多人觉得，在联邦学习的梯度聚合阶段，往梯度里加个拉普拉斯噪声就万事大吉：importnumpyasnpdefadd_laplace_noise(grads,epsilon=1.0,sensitivi