Backdoor‑Angriffe im Federated Learning: Architektur entscheidet über Erfolg
Federated Learning schützt zwar die Privatsphäre, doch laut einer neuen Studie von arXiv/2603.03865v1 kann es gleichzeitig ein Ziel für heimliche Backdoor‑Angriffe werden. Während frühere Untersuchungen davon ausgehen, dass dieselben Störungen in allen Modellen gleich wirken, zeigt die aktuelle Arbeit, dass die Modellarchitektur entscheidend ist.
Die Autoren führen zwei neue Messgrößen ein: den Structural Responsiveness Score (SRS) und den Structural Compatibility Coefficient (SCC). Mit diesen Kennzahlen lässt sich bestimmen, wie empfindlich ein Modell gegenüber Störungen ist und wie gut es fraktale Perturbationen aufnehmen kann. Auf Basis dieser Metriken entwickelt das Team einen struktur‑sensiblen Fractal‑Perturbation‑Injection‑Framework (TFI), um die Rolle architektonischer Eigenschaften im Backdoor‑Einbau zu untersuchen.
Experimentelle Ergebnisse zeigen, dass Netzwerke mit mehrpfadiger Feature‑Fusion selbst bei niedrigen Poisoning‑Raten fraktale Störungen verstärken und erhalten können, während Modelle mit geringer struktureller Kompatibilität deren Wirkung stark einschränken. Besonders stark korreliert der SCC mit der Erfolgsrate des Angriffs, was darauf hindeutet, dass SCC die Überlebensfähigkeit von Störungen vorhersagen kann. Die Studie unterstreicht damit, dass Backdoor‑Verhalten im Federated Learning nicht nur von der Störungsgestaltung abhängt, sondern maßgeblich von der Architektur des Modells bestimmt wird.