現(xiàn)今，機器學習（ML），更具體地說，深度學習已經(jīng)改變了從金融到醫(yī)療等廣泛的行業(yè)。在當前的 ML 范式中，訓練數(shù)據(jù)首先被收集和策劃，然后通過最小化訓練數(shù)據(jù)上的某些損失標準來優(yōu)化 ML 模型。學習環(huán)境中的一個共同基本假設是訓練數(shù)據(jù)可以立即訪問或輕松地跨計算節(jié)點分發(fā)，即數(shù)據(jù)是「集中式」的。

然而，在一個擁有多個「客戶端」（即數(shù)據(jù)持有者）的系統(tǒng)中，為了確保數(shù)據(jù)集中化，客戶端必須將本地數(shù)據(jù)上傳到一個集中設備（例如中心服務器）以進行上述的集中式訓練。盡管集中式訓練在各種深度學習應用中取得了成功，但對數(shù)據(jù)隱私和安全的擔憂日益增長，特別是當客戶端持有的本地數(shù)據(jù)是私有的或包含敏感信息時。

聯(lián)邦學習（FL）可以解決訓練數(shù)據(jù)隱私的問題。在一個典型的 FL 系統(tǒng)中，一個中心服務器負責聚合和同步模型權(quán)重，而一組客戶端操縱多站點數(shù)據(jù)。這促進了數(shù)據(jù)治理，因為客戶端僅與中心服務器交換模型權(quán)重或梯度，而不是將本地數(shù)據(jù)上傳到中心服務器，并且已經(jīng)使 FL 成為利用多站點數(shù)據(jù)同時保護隱私的標準化解決方案。

然而，現(xiàn)有的 FL 大多不能保證來自客戶端的上傳模型更新的質(zhì)量。例如，我們可以將惡意行為定義為通過投毒攻擊故意降低全局模型學習性能（例如準確性和收斂性）的行為。攻擊者可以通過操縱客戶端破壞 FL 系統(tǒng)，而不是黑進中心服務器。這項工作專注于防御客戶端投毒攻擊。

一種解決方案是將 FL 與如全同態(tài)加密（FHE）和安全多方計算（SMPC）等復雜的密碼協(xié)議相結(jié)合，以減輕客戶端的惡意行為。然而，采用這些復雜的密碼協(xié)議為 FL 參與者引入了顯著的計算開銷，從而損害了系統(tǒng)性能。

FLock.io 公司及其合作研究者們（上海人工智能研究院 Nanqing Dong 教授、帝國理工 zhipeng Wang 博士、帝國理工大學 William Knoettenbelt 教授、及卡內(nèi)基梅隆 Eric Xing 教授）通過提出一種基于區(qū)塊鏈和分布式賬本技術(shù)的安全可靠的 FL 系統(tǒng)框架來解決傳統(tǒng)聯(lián)邦學習（FL）依賴于集中式服務器進行全局模型聚合，從而導致單點故障這個問題，并將此系統(tǒng)設計命名為 FLock。

在該研究中，團隊借助區(qū)塊鏈、智能合約和代幣經(jīng)濟學設計一種可以抵抗惡意節(jié)點攻擊（尤其是投毒攻擊）的 FL 框架。該工作的成果近期被 IEEE Transactions on Artificial Intelligence (TAI) 接收。

• 論文鏈接：https://ieeexplore.ieee.org/document/10471193
• 論文標題：Defending Against Poisoning Attacks in Federated Learning with Blockchain
  

方法介紹

靈感來源

FLock 的機制設計受到了證明權(quán)益（PoS）區(qū)塊鏈共識機制和桌面游戲《The Resistance》（一種角色扮演類游戲，該游戲的一個變種叫阿瓦隆）的啟發(fā)。

PoS 要求參與者通過獎勵誠實行為并通過削減權(quán)益來懲罰不誠實行為，鼓勵誠實行為。例如，在以太坊上，希望參與驗證區(qū)塊并識別鏈頭的節(jié)點運營商將以太幣存入以太坊上的智能合約中。某位驗證者從總驗證者池中隨機選擇作為區(qū)塊提出者提出新區(qū)塊， 其他驗證者則檢查新區(qū)塊并證明它們是否有效。如果驗證者未能完成其中相應的任務，他們就即會受到懲罰或削減；誠實節(jié)點則會收到獎勵。

《The Resistance》游戲則通過投票機制，每輪游戲中玩家獨立推理并投票，從而實現(xiàn)全局共識。《The Resistance》有兩個不匹配的競爭方，其中較大的一方被稱為抵抗力量，另一方被稱為間諜。在《The Resistance》中，有一個投票機制，在每一輪中，每個玩家進行獨立推理并為一個玩家投票，得票最多的玩家將被視為「間諜」并被踢出游戲。抵抗力量的目標是投票淘汰所有間諜，而間諜的目標是冒充抵抗力量并生存到最后。

整體設計

基于 PoS 和《The Resistance》的啟發(fā)，F(xiàn)Lock 提出了一個新穎的基于區(qū)塊鏈的 FL 全局聚合的多數(shù)投票機制，其中每個 FL 參與客戶端獨立驗證聚合本地更新的質(zhì)量，并為全局更新的接受度投票。參與者需要抵押資產(chǎn)或代幣。

每一輪 FL 訓練中，參與者將被隨機選中參與兩種類型的行動，提議（上傳本地更新）和投票。聚合者（可以是區(qū)塊鏈礦工或者其他 FL 鏈下聚合者）將對收到的本地更新進行聚合從而得到全局聚合。如果大多數(shù)投票接受全局聚合，提議者將退還其抵押的代幣，而投票接受的投票者不僅會退還，而且還會獲得投票拒絕的投票者的抵押代幣的獎勵，反之亦然。

基于股權(quán)基礎聚合機制的整體設計如下圖所示。

算法細節(jié)如下所示：

• 在每一輪中，從參與的客戶端中隨機選擇提議者來進行本地訓練并將本地更新上傳到區(qū)塊鏈。
• 隨機選擇的投票者將下載聚合的本地更新，執(zhí)行本地驗證，并投票接受或拒絕。

• 如果大多數(shù)投票者投票「接受」，那么全局模型將被更新，提案者和投票「接受」的投票者將獲得獎勵。

• 相反，如果大多數(shù)投票者投票「拒絕」，則全局模型將不會更新，提案者和投票「接受」的投票者的抵押代幣將被削減。

該算法的最終目標是讓惡意參與者的長期平均收益為負值，進而使其抵押代幣削減到低于某個允許閾值，從而被提出 FL 系統(tǒng)。

實驗結(jié)果

FLock 的實驗在 Kaggle Lending Club 數(shù)據(jù)集和 ChestX-ray14 數(shù)據(jù)集上顯示分析了該方案的可行性和魯棒性，包括：

與傳統(tǒng) FL 相比，F(xiàn)Lock 抵抗惡意節(jié)點的能力：如下圖所示，F(xiàn)Lock （即 FedAVG w/block）在有惡意節(jié)點的情況下仍然保持了穩(wěn)健的性能。

惡意參與者的抵押代幣變化：同理論分析一致，惡意參與者的平均代幣隨著訓練輪數(shù) / 時間的增加而減少。并且，如果懲罰力度增大（即 \gamma 增大），則惡意參與者的平均代幣的減少速度將會增大。

誠實參與者的抵押代幣變化：相對應的，誠實參與者的平均代幣隨著訓練輪數(shù) / 時間的增加而增加。并且，如果懲罰力度增大大（即 \gamma 增大），則誠實參與者的平均代幣的增加速度將會增大。

惡意參與者的存活時間：惡意參與者的存活時間將會隨著懲罰力度增大而縮短。

誠實參與者的存活時間：FLock 的實驗結(jié)果也指出，在惡意節(jié)點占比較多的時候（即 \eta 增大時），較大的懲罰力度也會造成部分誠實節(jié)點的存活時間縮短（因為每一輪的提議者和投票者是隨機選取的）。因此，在實際應用中，要結(jié)合考慮惡意節(jié)點占比（即 \eta）設置懲罰力度（即 \gamma）。

總結(jié)與展望

FLock 提出了一種基于區(qū)塊鏈、智能合約和代幣經(jīng)濟學的可以抵惡意節(jié)點攻擊的 FL 框架。該方案論證了區(qū)塊鏈和 FL 結(jié)合的可行性，證明了區(qū)塊鏈不僅可以在去中心化和激勵參與者在金融和醫(yī)學等領(lǐng)域的現(xiàn)實世界中的 FL 應用中發(fā)揮重要作用，而且還可以用來防御投毒攻擊。

FLock 的方案已被進一步落地實現(xiàn)：https://www.flock.io/

團隊將于近期推出首個版本的去中心化 AI 模型訓練平臺，基建包括了激勵體系，聯(lián)邦學習和一鍵微調(diào)腳本。平臺將主要面向兩類人群：Developer：歡迎各位 Kaggle 及 Huggingface 玩家早期入駐，完成模型訓練與驗證以獲得激勵；Task Creator：有模型訓練或者微調(diào)需求的公司或者團隊可以在FLock平臺上發(fā)布任務，F(xiàn)Lock提供基建組織開發(fā)者，從而省去組建AI團隊，尋找用戶基礎與數(shù)據(jù)的復雜過程，并簡化工作流。有興趣請郵件 FLock 團隊：hello@flock.io

研究方面，F(xiàn)Lock 也正在探索更加多維度的 decentralized AI 安全解決方案，如借助零知識證明解決 FL 中心節(jié)點作惡的問題。

研究地址：https://arxiv.org/pdf/2310.02554.pdf

Let's wait for more decentralized AI solutions from FLock!

與此同時，F(xiàn)Lock.io 公司致力于將此技術(shù)投入到工程實踐，也于最近官宣種子輪六百萬美元的融資，由 Lightspeed Faction（光速美國）領(lǐng)投。