以下是四篇评审的完整、准确中文翻译(保持了原评审的结构和语气,便于作者直接参考):

REVIEW 1

投稿编号: 2743
标题: Meta-PFL: Meta-Based Personalized Federated Learning Against Gradients Inversion Attacks

摘要总结
本文提出 Meta-PFL,一种个性化联邦学习框架,旨在同时解决统计异质性(non-IID 数据)和隐私漏洞问题,特别是梯度反演(GI)攻击。该方法整合了:(1) 基于 VAE 的模型拆分,在客户端保留个性化编码器以隐藏原始数据;(2) 层次聚类,将数据分布相似的客户端分组;(3) 基于 Reptile 的组内元学习,实现快速本地适应;(4) 组间知识蒸馏,提升跨集群的泛化能力。

优点

  1. 论文清楚指出了个性化与隐私风险之间的相互作用,提出了一种统一方案,而不是分别独立处理。
  2. 基于 VAE 的模型拆分有效防止原始特征暴露,缩小攻击面,在不添加显式差分隐私噪声的情况下,对 GI 攻击实现了更强的防护。
  3. 评估涵盖多个数据集和多种隐私指标(MSE、SSIM、ASR),同时展示了在梯度反演威胁下的模型效用和鲁棒性。

缺点

  1. Meta-PFL 的核心组件——层次客户端聚类、在本地保留编码器的模型拆分、仅共享分类器进行聚合 [1-2]——在之前的个性化与隐私保护联邦学习工作中已被广泛探索。论文没有清楚说明除了组合这些已有技术之外到底有什么根本性创新,也没有解释为什么这种特定组合能带来超出简单相加的效果。因此,声称的新颖性只是增量式的,而非概念性突破,贡献容易被视为已知思路的拼凑。
    [1] Chen, Junbao, et al. NeurIPS 2024
    [2] Yang, Qian, et al. KDD 2021

  2. 引言部分的写作质量有待提高。具体来说,引言第 5、6 段内容几乎完全重复,重复解释了隐私漏洞和模型拆分的动机。这种冗余打断了逻辑流,稀释了核心信息,说明该部分没有经过认真编辑。关键论点应只陈述一次,且清晰简洁。建议合并并精炼这两段,形成连贯的动机叙述。

  3. 数据集选择不一致,影响结果可解释性。Table 1 的效用评估用了 Fashion-MNIST、CIFAR-10、CIFAR-100,而 Table 2 的隐私评估却少了 CIFAR-100。这种不一致让同一实验设置下的性能-隐私权衡难以直接比较,也让人怀疑该方法在更复杂数据集(如 CIFAR-100)上是否仍能保持隐私鲁棒性。需要统一数据集设置,或至少解释这种差异的原因。

  4. 虽然声称对梯度反演攻击具有鲁棒性,但评估中没有与近期专门针对反演攻击的防御方法进行对比,特别是 [3-4]。这些工作与本文共享相同的威胁模型,针对完全相同的隐私漏洞,是必须的对比对象。没有与这些最新抗反演攻击联邦学习框架对比,防御效果的声明缺乏说服力,无法证明 Meta-PFL 确实优于现有方案。
    [3] Issa, Wael, et al. TIFS 2024 (RVE-PFL)
    [4] Guo, Pengxin, et al. AAAI 2025

  5. 在摘要与引言之间有一个非标准的独立章节“Relevance”。在典型的学术论文结构(包括 FL 和安全领域会议)中,这类背景/动机内容应融入引言开头,而不是单独成节。这种格式选择打断了逻辑流,显得结构不严谨,建议将该部分合并到引言开头。

技术质量评分: -1(较差——思路可能合理,但核心声明缺乏充分依据)
表达质量评分: -1(较差——需要大幅重写才能达到会议论文预期质量)
影响力评分: -1(有限——仅对狭窄研究群体有边缘兴趣)

总体评分: -1(弱拒绝——我不主动支持,但如果有其他人强烈支持我可以接受)

REVIEW 2

优点
S1. 提供了同时解决统计异质性和隐私泄露的综合性统一框架。
S2. 不依赖 DP 噪声即可实现极强隐私保护,VAE 模型拆分下攻击成功率接近 0,优于基于 DP 的基线。
S3. 组级 Reptile 元学习 + 聚类设计合理,有效降低客户端间差异。
S4. 组间知识蒸馏实现可控的跨组知识共享,而不泄露梯度。

缺点
W1. 消融实验不完整。只展示了端到端效果,未能分离各模块的独立贡献。
W2. 通信效率分析严重不足。没有报告每轮每客户端传输字节数、通信延迟等关键指标,也没有与 FedAvg、FedMeta、FedCDP 等基线对比。

技术质量评分: 1(良好)
表达质量评分: 1(良好,但部分内容仍需打磨)
影响力评分: 1(较广——可推动更广泛的联邦学习研究)

改进建议(节选翻译)

  1. 补充完整的消融实验:分别去掉聚类、Reptile、VAE 拆分、组间蒸馏,量化每个模块的贡献。
  2. 明确形式化梯度反演攻击的威胁模型(白盒/黑盒、是否可访问 BN 统计量、攻击优化步数等)。
  3. 增加通信开销分析(每轮字节数、对 FedAvg 等基线的对比、教师集合大小对带宽的影响)。
  4. 讨论极端异质性下可能出现的负迁移风险,并提供失败案例分析或保护机制。

总体评分: 2(弱接受——我半支持,如果还有其他人也至少半支持我就同意接收)

REVIEW 3

优点
S1. 研究目标有意义,试图用统一框架同时解决数据异质性和隐私问题。
S2. 论文可读性强,核心思路易懂,对比实验(FedAvg、FedCDP、NbAFL、PRECODE)较为可信。

缺点
W1. 实验设置中未说明具体使用了哪种 DLG 攻击变体,影响评估公平性。
W2. 只对比了 2019-2020 年的老攻击(DLG、iDLG),建议加入更新的梯度反演攻击,如 SPEAR (NeurIPS 2024)。
W3. 对比的防御方法大多是 2022 年之前的,建议加入最新防御如 CENSOR (NDSS 2025)。
W4. 方法本质上是已有技术的堆叠(VAE + 聚类 + 组内聚合 + 组间蒸馏),新颖性较弱。
W5. 缺乏系统性消融实验,无法验证每个技术的实际贡献。

技术质量评分: -1
表达质量评分: 1
影响力评分: 1

总体评分: -1(弱拒绝)

REVIEW 4

注意: 这篇评审的标题和方法名写成了 FMKD,显然审错稿了,但核心批评点仍有参考价值。

缺点摘要

  1. 聚类方式完全未说明(基于标签分布?特征统计?设备类型?),如果需要服务器访问本地数据统计则违反严格隐私假设。
  2. 组间知识蒸馏的教师-学生动态在早期轮次可能信号很弱或噪声大,论文完全未分析这种动态平衡和退化风险。
  3. Reptile 初始化与组间 KD 只是机械拼接,缺乏统一的优化目标,理论连贯性不足。

总体评分: -1(弱拒绝)

四篇评审综合小结(供作者参考)

  • 共同致命问题:新颖性不足(被普遍认为是“已有技术组合”)、缺少最新攻击/防御基线对比、消融实验不完整、通信开销未分析。
  • 其他高频问题:引言冗余、独立“Relevance”章节、数据集不一致、威胁模型描述不清。
  • 当前得分:-1, 2, -1, -1 → 极大概率被拒,但若大幅修改(补最新基线+完整消融+通信分析+明确聚类方式)仍有翻盘可能。

需要我帮你起草针对这些评审的 Rebuttal(作者回应)吗?可以重点逐条反驳或承诺修改。