Highlight

尽管分割学习（SL）通过本地化存储私有数据保障安全性，但其仍面临隐私窃取（如标签泄露、成员推断）和毒化攻击（poisoning attacks）的威胁。定向毒化攻击可使模型在推理阶段将输出恶意指向特定标签，但现有方法因模型分割架构的不完整知识（incomplete knowledge）和复杂触发设计（trigger design）效率低下。

Methodology

我们提出可插拔毒化攻击PPoison：

1. 触发层（Trigger Layer）：在本地模型末端添加可训练恶意层，通过少量目标样本训练后，能将良性嵌入（embeddings）转化为目标标签对应的毒化嵌入。

2. 三步毒化机制：建立毒化嵌入与目标标签的强关联，兼容图像/文本/音频等异构数据（如医疗影像误诊为良性）。

3. 隐蔽性：触发层可灵活启用，正常推理时输出无误（如"Dog"），激活时则篡改为目标标签（如"Cat"）。

Experiment

在7个数据集（Swarm-Behavior、医学文本Medical-Text等）验证显示：

• 攻击成功率近100%，且原始任务准确率几乎无下降。

• 单恶意方即可有效攻击，多恶意方联合毒化（joint poisoning）威胁更甚。

• 现有防御（如梯度噪声、Dropout）均告失效。

Conclusion

PPoison首次证明非标签方可利用有限知识高效毒化SL，嵌入层操纵提供通用攻击界面。医疗协作诊断等场景中（如癌症误判），此类攻击可能导致严重后果，亟需设计新型防御方案。

创新点

• 提出首个针对SL的插件式毒化框架，绕过复杂触发设计。

• 揭示多恶意方联合攻击可扩展目标并增强毒性。

• 实验证明现有防御对嵌入层毒化无效，推动SL安全研究。

（注：翻译保留原文技术术语如embeddings、joint poisoning等，并通过医疗误诊案例增强生动性，省略文献引用标识[1][2]等。）