跳转至

Resource-Adaptive Federated Text Generation with Differential Privacy

会议: ICLR2026
arXiv: 2603.07027
代码: 无
领域: ai_safety
关键词: Federated Learning, Differential Privacy, Synthetic Text Generation, Computational Heterogeneity, Control Code

一句话总结

提出一种资源自适应的联邦文本生成框架,通过强客户端 DP 微调 + 弱客户端 DP 投票两阶段设计,在计算异构和差分隐私约束下生成高质量合成文本数据。

背景与动机

在跨筒仓联邦学习(cross-silo FL)场景中,敏感文本数据因隐私法规必须留在本地组织(如医院、公司)。传统做法是每个下游任务都启动一轮新的 FL 训练,通信开销和隐私成本都很高。一个更实际的替代方案是生成差分隐私(DP)保护的合成数据集来近似全局分布,供多个下游任务复用。

然而直接从预训练 LLM 生成文本质量往往很低,因为预训练分布可能与目标领域存在显著偏移(domain shift)。因此需要先做联邦微调来适配模型。但微调 LLM 面临一个关键障碍:计算异构性——只有少数资源充足的客户端能承担 LLM 微调,弱客户端被排斥在外。这放大了数据偏斜的影响,同时 DP-SGD 引入的噪声在参与者减少时进一步恶化模型质量。

核心问题

如何在跨筒仓 FL 中,使所有客户端(无论计算能力强弱)都能有效贡献,生成既满足差分隐私保障又忠实反映全局数据分布的高质量合成文本?

具体挑战包括:

  1. 计算异构:弱客户端无法做反向传播/微调,但其数据对全局分布不可或缺
  2. 数据异构:各客户端数据分布差异大,仅用强客户端微调的模型会产生偏倚
  3. DP 噪声放大:参与微调的客户端越少,DP-SGD 噪声对收敛和生成质量的负面影响越大

方法详解

整体框架:四阶段流水线

阶段 1:DP 联邦微调(强客户端 \(\mathcal{C}_s\)

  • 只有计算资源充足的强客户端参与标准联邦学习
  • 本地训练使用 DP-SGD 保护 sample-level 隐私
  • 目标函数为条件语言模型损失:\(f_i(\theta) = -\frac{1}{|D_i|}\sum_j \sum_{x \in D_i^j} \log p_\theta(x|c^j)\)
  • 经过 \(R\) 轮通信后得到微调模型 \(\theta^*\)

阶段 2:DP Profiling(所有客户端)

  • 每个客户端计算其本地数据在各 control code 下的样本数量向量 \(P_i = [|D_i^1|, \ldots, |D_i^{|C|}|]\)
  • 通过 Analytical Gaussian Mechanism 对 \(P_i\) 加噪后发送到服务器
  • 服务器汇总得到全局目标分布 \(\tilde{P} = \sum_i \tilde{P}_i\)

阶段 3:基于 Profile 的合成文本生成

  • 服务器根据全局分布 \(\tilde{P}\) 决定每个 control code 下需要生成的样本数 \(s_j = \text{Round}(s \cdot \tilde{P}[j])\)
  • 用微调模型 \(p_{\theta^*}(\cdot|c^j)\) 生成对应数量的合成文本
  • 得到初始合成数据集 \(\tilde{D}\)

阶段 4:DP 投票精炼(弱客户端 \(\mathcal{C}_r\)

  • 服务器将合成数据广播给弱客户端
  • 每个弱客户端对合成样本投票:本地每个真实样本在同一 control code 内选出 \(K\) 个最相似的合成样本(使用 sentence transformer 计算嵌入相似度)
  • 投票结果通过 Analytical Gaussian Mechanism 加 DP 噪声
  • 服务器汇总投票,按归一化投票概率重采样合成数据

Control Code 的双重作用

Control code(如标签、主题、元数据)是本框架的关键设计:

  1. 表示客户端分布:各 control code 的样本比例自然刻画了本地数据分布
  2. 约束投票范围:投票限定在同一 control code 内,确保语义一致性

隐私保障

三处独立使用 DP 机制:

  • 微调阶段:DP-SGD(\(\varepsilon_{\text{train}}, \delta_{\text{train}}\)
  • Profiling 阶段:Analytical Gaussian Mechanism(\(\varepsilon_{\text{prof}}, \delta_{\text{prof}}\)
  • 投票阶段:Analytical Gaussian Mechanism(\(\varepsilon_{\text{vote}}, \delta_{\text{vote}}\)

弱客户端仅需一轮通信,无需反向传播,计算开销极低。

实验关键数据

数据集与设置

数据集 客户端数 每客户端样本数 生成模型 Control Code
Yelp Reviews 100 15,000 GPT-2 商业类别 + 评分星级
PubMed Abstracts 20 2,250 GPT-2-large 5 个 MeSH 术语

IID 设置关键结果(Yelp, \(\varepsilon=8\)

  • 1% 强客户端 + 精炼的评分分类准确率(0.6149)≈ 10% 强客户端无精炼(0.6280)
  • 20% 强客户端 + 精炼的 F1(0.6285)超过 40% 强客户端无精炼(0.6168)
  • 精炼在 1% 强客户端时将评分分类 F1 提升约 0.20

IID 设置关键结果(PubMed, \(\varepsilon=8\)

  • 5% 强客户端 + 精炼的准确率(Acc.(D)=0.8028)大幅超过 20% 强客户端无 DP(0.7968)
  • 精炼一致性地将 DP 结果提升到接近甚至超越非 DP 基线

Non-IID 设置(10% 强客户端)

  • 在部分 Yelp non-IID 场景中,\(\varepsilon=8\) + 精炼的结果优于 \(\varepsilon=\infty\) 无精炼
  • PubMed NER 任务中,DP 的 clipping 和噪声在严重偏斜时起到了隐式正则化作用(\(\varepsilon=\infty\) 反而不如 \(\varepsilon=8\)

亮点

  1. 灵活参与机制:强客户端做微调、弱客户端做投票,所有参与者都能贡献,弱客户端仅需一轮通信和前向推理
  2. Control code 设计精巧:同时解决了分布表示和投票语义约束两个问题
  3. 精炼效果显著:在低资源条件下(1-5% 强客户端),单轮精炼就能大幅弥补 DP 导致的性能下降
  4. 反直觉发现:在严重 non-IID 场景下 DP 噪声反而可能起正则化作用,DP + 精炼可超越无 DP 基线

局限性 / 可改进方向

  1. Control code 需预定义:假设 control code 是公共知识且非隐私的,这在某些敏感场景可能不成立
  2. 仅验证了 GPT-2 级别模型:虽然附录有 LLaMA 结果,但没有在更大规模 LLM 上充分验证
  3. 投票依赖 sentence embedding 质量:如果 sentence transformer 在目标领域表现不好,精炼效果可能受限
  4. 跨筒仓假设较强:每个客户端需有上千样本,不适用于 cross-device FL
  5. 未讨论 control code 数量对隐私预算分配的影响

与相关工作的对比

方法 适用场景 微调方式 弱客户端参与 DP 级别
PrE-Text (Hou et al., 2024) Cross-device FL 不微调,仅 prompting 所有客户端同等 Client-level
FLoRA (Wang et al., 2024) 联邦微调 LoRA 参数高效微调 仍需本地反向传播 可选
本文 Cross-silo FL DP-SGD 全微调 投票精炼,无需梯度计算 Sample-level

与 LoRA 等参数高效方法正交互补:LoRA 可作为阶段 1 的微调方式,但阶段 2 的投票精炼仍然必要。实验(Table A.13)确认了 LoRA + 精炼仍有增益。

启发与关联

  • 投票精炼的思路可推广到其他需要弱客户端参与的联邦场景,不仅限于文本生成
  • DP 噪声的正则化效应提示在高异构场景中不应一味追求低噪声
  • Control code 方法可与 prompt engineering 组合,进一步提升生成质量
  • 对医疗、金融等跨机构数据共享场景有直接应用价值

评分

  • 新颖性: 7/10 — 强弱客户端分治 + 投票精炼是新颖的组合,但各组件技术较成熟
  • 实验充分度: 8/10 — IID/non-IID、多数据集、多指标,消融充分;模型规模偏小
  • 写作质量: 8/10 — 结构清晰,问题定义明确,符号一致
  • 价值: 7/10 — 解决了计算异构下联邦合成数据生成的实际痛点