探測無人機系統（UAS）非常復雜。在多個領域（空中、陸地和海洋）整合和共享雷達信息是一個難題。目前有關無人機系統探測的研究主要集中在探測地面兵力和國家關鍵基礎設施上空的無人機系統，但當無人機系統開始挑戰港口或公海上的軍艦時會發生什么？在多機構危機事件中，如何通過無線方式收集和共享信息？探測到的無人機傳感器數據能否通過無線網格網絡（WMN）與其他機構共享？研究表明，在一次小規模的多機構危機響應演習中，可以將 SAAB 的 G1X 雷達系統的模擬數據與戰術突擊套件（TAK）態勢感知應用程序集成在一起。該技術運行完美；但是，注意到，必須進一步檢查和改進反無人機系統戰術技術和程序（TTP）、國際無人機系統法律法規以及提示和自動化，以適應當今的戰斗和機構間響應。此外，發現在演習期間，手機信號無法有效覆蓋舊金山灣。為了縮小這一差距，使用 Persistent Systems 公司的 MPU-5 無線電設備成功擴展了 WMN，從而在非網絡環境中創造了更廣泛的維護網絡功能的能力。

無人駕駛航空系統（UAS）能力在商業領域的擴散對民用和軍用設施的傳統周邊防御構成了潛在的重大威脅。特別是現成的商用無人機系統，體積小、價格低、功能多，引起了愛好者越來越大的興趣，也增加了設施面臨的風險。因此，設施指揮官現在需要一種方法，對設施面臨的直接威脅進行快速評估和分析，以確定設施反無人機系統（CUAS）的有效性。按照系統工程方法，本研究提出了一種方法，提供了對設施進行評估和分析的逐步過程，并采用基于模型的系統工程（MBSE）工具來評估 CUAS 的有效性和局限性。該方法分析了 CUAS 的作戰環境以及 CUAS 可能對作戰區域內其他利益相關者（如相鄰的盟軍兵力、平民等）產生影響的方式。然后，我們確定優化 CUAS 性能的候選配置，以滿足利益相關者的要求。我們將對一個擁有現有 CUAS 的假設機場進行案例研究，以展示該方法的可用性，探索候選配置，并證明實施符合設施和利益相關者要求的候選配置是合理的。

近年來，無人機系統（UAS）技術突飛猛進，激發了業余愛好者對無人機系統的興趣，并促使他們將無人機系統用于娛樂用途。此外，每個國家或軍事組織都能負擔得起和使用無人機系統。雖然目前正在實施飛行法規，要求無人機系統運營商提供所有正在運行的無人機系統的歸屬信息，但許多業余愛好者仍然不提供此類信息，而且可以預計邪惡的行為者也不會提供無人機系統的來源標識。因此，僅僅要求識別無人機系統還不足以保護機場等大多數設施免受無人機系統的入侵。此外，如果設施無人看守，無人機系統入侵的后果可能是災難性的。例如，如果無人機系統在起飛過程中進入飛機發動機或撞上油箱，這種事件可能會造成人員傷亡，對運營造成巨大干擾，并對基礎設施或資產造成昂貴的維修費用。

無人機系統旨在執行對人類來說 "枯燥、骯臟或危險 "的各種任務[1]。無人機系統技術發展的主要能力驅動因素是，在執行情報、監視和偵察（ISR）、人道主義援助和救災（HADR）以及精確打擊等危險任務時，人們對軍事力量保存工作的興趣與日俱增。隨著無人機系統技術在過去幾十年的成熟，商業部門看到了將無人機系統應用于基礎設施檢查、交通監控、投遞和氣象等商業活動的機會。對軍事和商業部門都有利的是，在無人機系統領域實施開放式架構獲得了重大創新，從而不斷加快無人機系統的技術進步，使其具有革命性的潛力。商用現成（COTS）無人機系統或小型無人機系統通常提供攝影、攝像和自我組裝套件等功能，吸引著各個領域的愛好者將無人機系統用于娛樂目的[2]。然而，隨著無人機系統的技術發展和廣泛采用，軍事和商業部門都面臨著巨大的風險[3]，[4]。

對設施、基地、機場、關鍵基礎設施和類似設施而言，非惡意無人機系統的主要風險是失控和碰撞。失控可能會對關鍵資產造成重大損壞或對人造成傷害，并可能產生高昂的成本來修復基礎設施損壞和治療嚴重傷害。例如，業余無人機系統操作員可能會嘗試拍攝停靠的客機視頻作為其業余愛好的一部分，但由于信號超出范圍問題而無意中失去控制，這可能會導致與即將起飛的客機相撞。由于大多數無人機系統的所有者都是業余愛好者，他們中的許多人在控制無人機系統方面沒有受過訓練或缺乏經驗。現有的法規和政策無法在允許業余愛好者駕駛較小的無人機系統之前跟蹤他們的操作熟練程度。雖然敏感區域周圍設有禁飛區，但由于業余愛好者可能不了解他們可能造成的損害，每年仍會發生少數事件。機場、軍營和基地、政府大樓和監獄等設施在應對無人機系統時已經遇到了上述安全困境[5]。此外，邪惡的無人機系統活動構成了更大的威脅，盡管迄今為止，在全球范圍內，除戰爭活躍地區外，此類事件相對較少。

各設施迫切需要采用反無人機系統（CUAS）來主動保護其資產和安全。為有效對抗無人機系統，CUAS 需要多個傳感器來探測、識別和分類無人機系統，然后再使用攔截器擊落無人機系統。然而，CUAS 系統的內部和外部存在多種因素，可能會削弱 CUAS 的有效性，設施指揮官必須采取相應的緩解措施[6]-[8]。設施指揮官面臨的一大挑戰是如何在與無人機系統的技術競賽中保持領先。

現有研究主要關注 CUAS 和 UAS 系統的技術能力，而沒有從更廣泛的系統工程角度進行研究。本論文的研究采用了系統工程視角，以支持設施指揮官了解設施在應對當前和新出現的無人機系統威脅時可能存在的薄弱環節，并平衡 CUAS 的能力與鄰近利益相關者的需求[9]。第 2 章中提出的方法允許設施指揮官通過評估和分析探索可能的 CUAS 空間，以確保 CUAS 針對快速出現的無人機系統威脅進行優化并具有相關性。

圖 擬議方法概述。該方法可用于設施指揮官分析現有 CUAS 系統的有效性，找出 CUAS 系統能力差距，提出 CUAS 系統升級建議，并提供 CUAS 系統設計審查。

美國防部（DoD）要求美國采購創新研究中心（AIRC）評估其創新問題。這項工作的起因是美國防部一直在努力有效地參與創新生態系統，以支持改進采購、能力和軍事成果。AIRC考慮了現有的方法，這些方法主要側重于流程解決方案和設立新的辦事處。顯然，挑戰依然存在。因此，AIRC退后一步，明確界定問題、其原因和挑戰，以及潛在的補救措施，而不是冒著風險盲目地尋找和追逐快速或簡單的解決方案，因為這些解決方案可能無法從根本上解決獲取和部署正確的創新國防能力的問題。因此，本報告試圖從最初的原則出發來審視這一挑戰，并真正理解國防創新問題的本質。

當今所需的創新是在技術環境發生巨大變化的背景下進行的。幾十年前，當AIRC的技術組織和采購結構建立起來時，美國國防部對國內和全球的技術發展都產生了巨大的影響，因此是技術變革步伐的主要決定因素。如今，技術領域主要是商業性的、分散的、擴散的，任何政府都無法控制。2019 年，全球每年的研發（R&D）投資約為 2.4 萬億美元，其中 70% 以上來自美國以外，近一半來自美國和中國以外（Sargent，2021 年）。此外，全球范圍內的變革步伐是由一個分散的公共和私營參與者網絡推動的。

這給AIRC的主要啟示是，需要有意識地在國防部內部建立一個更好的創新生態系統，而不是簡單地繼續改革現有的采購框架或只關注外部社區。這意味著必須培養和保護國防部的組織、實驗和人員。這一理念跨越了主要的權力和責任界限，要求國防部在技術快速涌現、廣泛擴散的新現實中，培養領導力和員工隊伍所需的技能和批判性思維。

AIRC確定了以下建議和下一步措施，這些建議和措施可以使國防部更多地轉向授權、創造、識別、評估和采用具有重大業務意義的創新（而不是在資源有限的情況下無法證明和追求的有吸引力的創新）。要實現這一目標，就需要對基本的推動因素給予長期、根本性的關注，包括實驗和學習，這不僅適用于國防創新，也適用于獲取和部署創新能力的更廣泛系統。

實現重大業務創新的建議

1.創建組織，教授并維持紅色團隊和實驗活動，并直接向有權調動資金、影響和支持職能的領導匯報，以實地開展對業務需求至關重要的創新。

2.在這些組織內創造實驗和迭代機會，讓作戰人員直接參與，以擴展新技術和現有技術的使用概念，以及理論、組織、培訓、物資、領導、人員、設施和政策（DOTMLPF-P）的補充性變化。

3.開發學習資料庫，為創新部門和美國防部建立創新工作的長期企業記憶，使機構更加智能化，同時減少人員頻繁輪換帶來的負面影響。

4.吸引并留住具備相關技能、激勵措施和能力的人員和領導者，以駕馭這個充滿活力的新世界。

a.為員工和領導制定并實施教育培訓計劃和方案

b.對領導者和員工實施與成果相一致的獎勵和晉升標準，以激勵和促進創新。

c.營造有利于創新、測試、學習、選擇和實施關鍵業務創意的組織環境。

下一步：試點方案

為落實上述建議，下一步的實際工作包括以下試點和研究工作。

i. 創建實驗組織并賦予其權力（可能在陸軍未來司令部或現有的快速能力辦公室）。

ii. 試點建立實驗組織的學習資料庫（同樣，可能在陸軍未來司令部或現有的快速能力辦公室）。

iii. 培訓一批未來的領導者和勞動力（例如，在高級軍事研究學院（SAMS）和二十一世紀研討會課程的基礎上，在國防采辦大學或戰爭學院進行培訓）。

iv. 在軍官或公務員隊伍中試行激勵措施和晉升標準。

v. 確定有關賦權因素的更多經驗教訓（從過去的經驗中吸取成敗教訓）。建立模擬器，以測試創新激勵政策（即在廣泛實施新政策之前進行測試），并制定 政策準備程度，為政策決策提供信息。

壓縮的戰術決策周期將是未來快節奏的超級戰爭的支點。人工智能武器系統有望擴展和最大化人類的能力，成為武裝部隊在這種致命作戰環境中的生存能力和殺傷力的關鍵。人工智能不是武器；它是武器系統的組成部分或元素--最可能是一個軍事網絡或 "軍事物聯網"，它將加速火力或效果應用的速度和決策。網絡化部隊將為整個企業的態勢感知和戰斗管理提供信息。部隊不太可能出動 "殺手機器人"--攜帶武器、不受人類指揮做出生死決定的單獨實體。相反，創建和使用自主武器系統（AWS）將需要一個定義明確的作戰環境，并獲得豐富、準確、超大的數據集，如GPS，由分布式傳感器提供，加上改進的機器學習算法和高性能處理器，將人工智能融合到殺傷鏈中。殺傷鏈過程結合了多光譜傳感器，以了解作戰環境，積極地識別、跟蹤和選擇目標，并以最適當的效果與他們交戰。(蘇聯將這一過程稱為 "偵察打擊綜合體"，而在20世紀90年代，美國的約翰-博伊德推廣了 "OODA循環 "一詞，即武裝部隊在對手面前競相觀察、定位、決定和行動）。人工智能旨在促進這種適應性的、多領域的、高速的決策模式，在此過程中，它有望提供決定性的軍事優勢。本研究的第二部分敘述了美國武裝部隊在武裝沖突期間對人工智能的當前和潛在使用。

在第三部分，研究轉向適用于戰爭中使用人工智能的規則。所有的戰爭方法和手段，包括人工智能，都必須符合戰爭法，也稱為武裝沖突法（LOAC）或國際人道主義法律（IHL）。指揮官有責任確保他們所掌握和指揮的方法和手段，包括人工智能，符合武裝沖突法的原則，如區分、相稱性和攻擊中需要預防的規則。

第四部分探討了《特定常規武器公約》（CCW）成員國為制定有助于確保AWS遵守武裝沖突法的標準所做的努力。特定常規武器公約》召集了一個政府專家小組（GGE），考慮對AWS的人類判斷或控制水平進行標準化的定義，以確保人類對機器的行為負責。政府專家小組最關注的是確保在敵對行動中使用致命性武器（LAWS）符合武裝沖突法。這項工作旨在彌補致命性武器系統在法律上暴露的 "漏洞"。然而，無論這一過程中產生了什么標準，都不可能成為確保致命性武器系統的運作符合武裝沖突法的有效和可靠的指導。

此外，一些非政府組織和有關國家認為，讓指揮官對行為不可預測的自主武器系統負責是不公平的，但這正是軍隊運作的方式--賦予軍事指揮部對部隊的全權和責任。特定常規武器公約》政府專家小組的努力不太可能產生詳細的、被廣泛接受的規則，從而有意義地改進這種模式。作戰的軍事指揮官已經對他們在武裝沖突期間使用人工智能武器系統負責，這是第五部分的重點。

第五部分探討了體現在軍事指揮官身上的人類問責制。軍事指揮官對人工智能武器系統的使用以及在他或她的指導下支持戰爭行動的所有努力路線負責。直接的、個人的指揮責任是長期的、完整的。對所有軍事行動--包括武裝沖突中由人工智能發動的攻擊--的相應責任由指揮系統的最高層承擔。這種問責可能是以刑法的形式，但也包括一系列行政和非司法措施。直接問責涵蓋了武裝沖突期間發生的每一件事，包括那些國際刑事法院缺乏管轄權或證據不足的事件，因此它規范了指揮官的行為，即使他們沒有犯罪意圖，事實上，即使他們沒有直接 "過錯"。

第六部分的結論是，指揮官的直接和個人問責的好處是長期存在，被廣泛理解，并被一線軍官和軍事領導人直觀地理解；它是軍事文化的一部分。雖然它可以利用法律程序，包括軍事司法系統，但它并不完全受制于或依賴這些程序。雖然指揮官仍然要為戰爭罪受到刑事處罰，但軍事問責制也包括一系列非司法和行政制裁。指揮官對人工智能武器系統的問責尤其引人注目，因為與常規武器不同，如果出了問題，沒有額外的人（或更少的人）可以負責。

在一個跨國威脅不斷增加、全球相互依存度空前提高、大國競爭重新抬頭的時代，美國正處于一個拐點。這是在技術革命的背景下發生的，技術革命加劇了面臨的挑戰，同時也提供了潛在的解決方案，在氣候、醫藥、通信、運輸、智能和許多其他領域提供了突破。其中許多突破將通過利用人工智能（AI）及其相關技術--其中主要是機器學習（ML）。這些進步可能會塑造國家之間的經濟和軍事力量平衡，以及國家內部的工作、財富和不平等的未來。

ML的創新有可能從根本上改變美國軍隊的戰斗方式，以及美國防部的運作方式。機器學習的應用可以提高人類在戰場上的決策速度和質量，使人機合作的性能最大化，并將士兵的風險降到最低，并極大地提高依賴非常大的數據集的分析的準確性和速度。ML還可以加強美國以機器速度防御網絡攻擊的能力，并有能力將勞動密集型企業功能的關鍵部分自動化，如預測性維護和人員管理。

然而，人工智能和機器學習的進步并不只是美國的專利。事實上，面對中國在該領域的挑戰，美國在人工智能領域的全球領導地位仍然受到懷疑。美國防部和學術界的許多報告反映了需要在人工智能研究和開發方面進行更多投資，培訓和招聘一支熟練的勞動力，并促進支持美國人工智能創新的國際環境--同時促進安全、安保、隱私和道德的發展和使用。然而，人們對信任問題，特別是對這些系統的測試、評估、驗證和確認（TEVV）的關注太少。建立一個強大的測試和評估生態系統是負責任地、可靠地和緊急地利用這一技術的一個關鍵組成部分。如果不這樣做，就意味著落后。

本報告將首先強調為人工智能系統調整美國防部現有的TEVV生態系統的技術和組織障礙，特別強調ML及其相關的深度學習（DL）技術，我們預測這對未來的威懾和作戰至關重要，同時在可解釋性、可治理性、可追溯性和信任方面帶來獨特的挑戰。其次，本報告將向國防部領導層提供具體的、可操作的建議，與情報界、國務院、國會、工業界和學術界合作，通過改革流程、政策和組織結構，同時投資于研究、基礎設施和人員，推進ML/DL的TEV系統。這些建議是基于作者幾十年來在美國政府從事國家安全工作的經驗，以及對從事ML/DL和測試與評估的政府、工業和學術界專家的數十次訪談。

物聯網，或簡稱為IoT，是一個多領域、多范式的技術話題，由于其固有的自動化行為和廉價的開發成本，在商業用途和業余愛好者中都迅速獲得普及。隨著可用的無線技術和小型硬件的出現，它已成為過去十年的決定性技術之一，它對城市和企業的 "智能化 "作用是不言而喻的。因此，它也獲得了軍事技術革新者的關注，通過增強和擴大態勢感知來獲得戰斗空間中的信息主導權。

在這篇論文中，一個采用士兵可穿戴設備形式的軍事物聯網原型子系統被建立起來，它使用了商業上可用的軟件和硬件，由一個完全建立在開放源碼上的私人網絡和信息鏈支持，獨立于現有的基礎設施，以便展示為軍事部署提供自我驅動、臨時性的傳感器網絡的能力。為了支持具體的設計，現役軍人已經參與其中，以便提供圍繞他們在各種軍事任務案例中的領導方法的重要細節，此外還對完成的原型提供反饋，以便得出這樣一個系統是否有助于提高作戰效率的結論。

本論文中開發的原型利用商業設備來建立對佩戴者的地理位置、生物識別讀數和氣體檢測的感應，它被設計成盡可能頻繁地傳輸，以保持盡可能高的更新率，同時也將空中的時間限制在最低限度，以降低被敵對的電子戰單位探測到的電磁風險，此外還限制電池的使用，從而也限制了設備的運行壽命。

本論文的研究結果表明，通過士兵層面的自動數據采集，可以提高戰斗空間態勢。因此，建議參與類似任務的軍事組織，如本論文中提出的那些，進一步調查這種系統的可用性。

為了面對軍事防御的挑戰，軍隊及其戰術工具的現代化是一個持續的過程。在不久的將來，各種任務將由軍事機器人執行，以實現100%的影響和0%的生命風險。國防機器人工程師和公司有興趣將各種戰略自動化，以獲得更高的效率和更大的影響，因為陸地防御機器人的需求正在穩步增長。在這項研究中，軍事防御系統中使用的陸地機器人是重點，并介紹了各種類型的陸地機器人，重點是技術規格、控制策略、戰斗參與和使用目的。本研究還介紹了陸地機器人技術在世界軍事力量中的最新整合，其必要性，以及各國際防務公司對世界經濟的貢獻，表明其在軍事自動化和經濟穩定中的優勢。本報告還討論了近期發展的局限性和挑戰、機器人倫理和道德影響，以及與機器人安全有關的一些重要觀點和克服近期挑戰的一些建議，以促進未來的發展。

引言

為了加強軍事防御系統，必須大力發展和提高智能自主戰略能力。在大多數第一世界國家，研究國防技術改進是實現軍事防御現代化的優先事項。未來戰爭的特點可以根據不同領域的沖突進行分析，如：海洋、陸地、空中、網絡、太空、電磁和信息。隨著現代智能和機器人技術的改進，跨域（X域）和多域戰略也需要被關注。無人自主X域（多域）系統，簡稱UAxS，現在是研究和發展的重點，以使軍事力量更加強大、有力和智能。圖1展示了多域和X域的戰爭模式。

圖 1：多域和 X 域戰爭模型

現代防御機制可以在四個相互關聯的領域進行研究：先進的戰艦、良好的通信、人工智能和自主武器。這基本上意味著在軍事防御系統中實施機器人技術。在戰場上，一支裝備精良的機械化部隊是指揮官非常重要的資產。在戰爭中，指揮官必須專注于火力、機動性、人機合作、決策、支持裝甲和指揮步兵。在未來，機器人和自動化系統將通過提供支持和減少負擔來幫助解決這些問題，因為這些系統將更加智能、可靠和合作。在最近的軍事活動中，機器人和自主技術被用于偵察、設備供應、監視、掃雷、災難恢復、受傷士兵的檢索等（Dufourda, & Dalgalarrondo, 2006；Akhtaruzzaman, et al., 2020）。

為了確保可靠的使用和獲得最高的技術影響，機器人必須在半自動化、自動化和人機交互工程方面進行良好的設計。無人地面車輛（UGV）很有前途，在國防應用中具有很大的潛力，在這些應用中高度需要更快和可靠的通信鏈接（鏈接預算）和快速獲取信息（RAtI）（Akhtaruzzaman, et al., 2020）。機器人的價值比人的生命還要低。機器人在感知、檢測、測量和分析方面速度更快。機器人沒有任何激情或情感，不會像人類那樣感到疲勞或疲倦，而是在極端和關鍵條件下保持運作。在不久的將來，機器人將成為作戰計劃和參與的核心技術（Abiodun, & Taofeek, 2020）。它們將能夠通過智能傳感器技術與環境溝通，通過建模理解環境，理解人類的行動，定義威脅，服從命令，以更高的處理能力獲取信息，通過信息交換和共享與其他機器人互動，通過先進的控制技術自主適應敵對環境，并通過強大的計算能力與自動生成的程序應用智能進行自我學習（Akhtaruzzaman, & Shafie, 2010a, 2010b; Karabegovi?, & Karabegovi?, 2019）。

在不久的將來，UGV系統將成為軍事行動的關鍵技術，因為它們將確保幾乎零人力風險，不需要將人力直接安置到戰斗中。UGV系統還將能夠開放各種設施，如負載、自動監視、邊境巡邏、風險降低、障礙物清除、力量倍增器、遠程操縱、信號中繼等（Sathiyanarayanan等人，2014）。陸地防衛機器人必須能夠適應各種崎嶇的地形、惡劣的環境和非結構化的區域，同時發揮指定的作用并保持指揮層次。作為軍事部隊的一種程度，陸地機器人不能給團隊帶來任何額外的工作負擔。因此，必須實施有效的人工智能（AI）工程，以實現UGV或陸地機器人與行動部隊之間可靠的人機合作。

今天的智能機器人或自主武器仍然處于狹義人工智能（ANI）的水平（Horowitz，2019年），或者以某種方式處于ANI和通用人工智能（AGI）之間。這反映出它們還沒有準備好在災難或戰爭等敵對情況下完全自主并做出可靠的決定。人類擁有在很大程度上應用感知經驗的智慧，能夠適應環境，并能在關鍵情況下做出適當的決定。如果這些能力能夠被植入機器人的大腦，該系統就可以說是AGI系統。盡管與人類相比，機器人可以抵御枯燥、骯臟和危險的工作，但它們包括一些有限的功能，如航點或目標導向的導航、障礙物檢測、障礙物規避、威脅檢測、人類檢測和識別、定位、地圖構建、通過圖像和聲音處理提取信息，以及與其他機器人的某種合作。因此，如果能確保機器人和人類之間的良好合作，機器人將在人類的監督下自主工作，那么軍用地面機器人將是最有效的。

本研究對軍用陸地機器人系統、最近的技術進步、應用和道德影響進行了回顧。一些發達國家和不發達國家的現狀，以及通過推進和發展軍事武器、自動化武器和智能技術對世界經濟的工業影響，都反映在審查研究中。本文還闡述了參與戰爭的機器人倫理以及該技術對道德國家的影響。該研究主要試圖通過確定最近的差距、局限性和技術進步的倫理影響，來確定地面機器人技術的最新應用和實施情況。

隨著數據越來越多地存儲在不同的筒倉中，社會越來越關注數據隱私問題，傳統的人工智能(AI)模型集中訓練正面臨效率和隱私方面的挑戰。最近，聯邦學習(FL)作為一種替代解決方案出現，并在這種新的現實中繼續蓬勃發展。現有的FL協議設計已經被證明對系統內外的對抗是脆弱的，危及數據隱私和系統的魯棒性。除了訓練強大的全局模型外，最重要的是設計具有隱私保障和抵抗不同類型對手的FL系統。在本文中，我們對這一問題進行了第一次全面的綜述。通過對FL概念的簡明介紹，和一個獨特的分類涵蓋:1) 威脅模型; 2) 中毒攻擊與魯棒性防御; 3) 對隱私的推理攻擊和防御，我們提供了這一重要主題的可訪問的回顧。我們強調了各種攻擊和防御所采用的直覺、關鍵技術和基本假設。最后，我們對魯棒性和隱私保護聯合學習的未來研究方向進行了討論。

//www.zhuanzhi.ai/paper/678e6e386bbefa8076e699ebd9fd8c2a

引言

隨著計算設備變得越來越普遍，人們在日常使用中產生了大量的數據。將這樣的數據收集到集中的存儲設施中既昂貴又耗時。傳統的集中式機器學習(ML)方法不能支持這種普遍存在的部署和應用，這是由于基礎設施的缺點，如有限的通信帶寬、間歇性的網絡連接和嚴格的延遲約束[1]。另一個關鍵問題是數據隱私和用戶機密性，因為使用數據通常包含敏感信息[2]。面部圖像、基于位置的服務或健康信息等敏感數據可用于有針對性的社交廣告和推薦，造成即時或潛在的隱私風險。因此，私人數據不應該在沒有任何隱私考慮的情況下直接共享。隨著社會對隱私保護意識的增強，《通用數據保護條例》(GDPR)等法律限制正在出現，這使得數據聚合實踐變得不那么可行。

在這種情況下，聯邦學習(FL)(也被稱為協作學習)將模型訓練分發到數據來源的設備上，作為一種有前景的ML范式[4]出現了。FL使多個參與者能夠構建一個聯合ML模型，而不暴露他們的私人訓練數據[4]，[5]。它還可以處理不平衡、非獨立和同分布(非i.i.d)數據，這些數據自然出現在真實的[6]世界中。近年來，FL獲得了廣泛的應用，如下一個單詞預測[6]、[7]、安全視覺目標檢測[8]、實體解析[9]等。

根據參與者之間數據特征和數據樣本的分布，聯邦學習一般可以分為水平聯邦學習(HFL)、垂直聯邦學習(VFL)和聯邦遷移學習(FTL)[10]。

具有同構體系結構的FL: 共享模型更新通常僅限于同構的FL體系結構，也就是說，相同的模型被所有參與者共享。參與者的目標是共同學習一個更準確的模型。具有異構架構的FL: 最近的努力擴展了FL，以協同訓練具有異構架構的模型[15]，[16]。

FL提供了一個關注隱私的模型訓練的范式，它不需要數據共享，并且允許參與者自由地加入和離開聯盟。然而，最近的研究表明，FL可能并不總是提供足夠的隱私和健壯性保證。現有的FL協議設計容易受到以下攻擊: (1)惡意服務器試圖從個人更新中推斷敏感信息，篡改訓練過程或控制參與者對全局參數的看法;或者(2)一個敵對的參與者推斷其他參與者的敏感信息，篡改全局參數聚合或破壞全局模型。

在隱私泄露方面，在整個訓練過程中，通信模型的更新會泄露敏感信息[18]、[19]，并導致深度泄露[20]，無論是對第三方服務器還是中央服務器[7]、[21]。例如，如[22]所示，即使是很小一部分的梯度也可以揭示相當數量的有關本地數據的敏感信息。最近的研究表明，通過簡單地觀察梯度，惡意攻擊者可以在[20]，[23]幾次迭代內竊取訓練數據。

在魯棒性方面，FL系統容易受到[24]、[25]和[26]、[27]、[28]、[29]的模型中毒攻擊。惡意參與者可以攻擊全局模型的收斂性，或者通過故意改變其本地數據(數據中毒)或梯度上傳(模型中毒)將后門觸發器植入全局模型。模型投毒攻擊可以進一步分為:(1)Byzantine 攻擊，攻擊者的目標是破壞全局模型[13]、[30]的收斂性和性能;(2)后門攻擊，對手的目標是在全局模型中植入一個后門觸發器，以欺騙模型不斷預測子任務上的敵對類，同時在主要任務[26]，[27]上保持良好的性能。需要注意的是，后門模型投毒攻擊通常利用數據投毒來獲取有毒的參數更新[24]、[26]、[27]。

這些隱私和魯棒性攻擊對FL構成了重大威脅。在集中學習中，服務器控制參與者的隱私和模型魯棒性。然而，在FL中，任何參與者都可以攻擊服務器并監視其他參與者，有時甚至不涉及服務器。因此，理解這些隱私性和健壯性攻擊背后的原理是很重要的。

目前對FL的研究主要集中在系統/協議設計[10]、[31]、[32]。聯邦學習的隱私和穩健性威脅還沒有得到很好的探討。在本文中，我們調研了FL的隱私和魯棒性威脅及其防御方面的最新進展。特別地，我們關注由FL系統內部者發起的兩種特定威脅:1) 試圖阻止學習全局模型的中毒攻擊，或控制全局模型行為的植入觸發器;2) 試圖泄露其他參與者隱私信息的推理攻擊。表2總結了這些攻擊的特性。