2025-11-20T13:58:15.370121

Personal Attribute Leakage in Federated Speech Models

Al-Ali, Ghavamipour, Caselli et al.
Federated learning is a common method for privacy-preserving training of machine learning models. In this paper, we analyze the vulnerability of ASR models to attribute inference attacks in the federated setting. We test a non-parametric white-box attack method under a passive threat model on three ASR models: Wav2Vec2, HuBERT, and Whisper. The attack operates solely on weight differentials without access to raw speech from target speakers. We demonstrate attack feasibility on sensitive demographic and clinical attributes: gender, age, accent, emotion, and dysarthria. Our findings indicate that attributes that are underrepresented or absent in the pre-training data are more vulnerable to such inference attacks. In particular, information about accents can be reliably inferred from all models. Our findings expose previously undocumented vulnerabilities in federated ASR models and offer insights towards improved security.
academic

Persönliche Attributlecks in föderierten Sprachmodellen

Grundinformationen

  • Paper-ID: 2510.13357
  • Titel: Personal Attribute Leakage in Federated Speech Models
  • Autoren: Hamdan Al-Ali, Ali Reza Ghavamipour, Tommaso Caselli, Fatih Turkmen, Zeerak Talat, Hanan Aldarmaki
  • Klassifizierung: cs.CL cs.AI
  • Veröffentlichungsdatum: 15. Oktober 2025 (arXiv-Preprint)
  • Paper-Link: https://arxiv.org/abs/2510.13357v1

Zusammenfassung

Föderiertes Lernen ist eine gängige Methode zum datenschutzgerechten Training von Modellen des maschinellen Lernens. Dieses Paper analysiert die Anfälligkeit von ASR-Modellen in föderierter Umgebung gegenüber Attributinferenzangriffen. Die Forscher testeten unter einem passiven Bedrohungsmodell nichtparametrische White-Box-Angriffsmethoden gegen drei ASR-Modelle (Wav2Vec2, HuBERT und Whisper). Der Angriff basiert ausschließlich auf Gewichtsdifferenzen und erfordert keinen Zugriff auf die ursprüngliche Sprache des Zielsprechers. Die Studie demonstriert die Machbarkeit von Angriffen auf sensible demografische und klinische Attribute (Geschlecht, Alter, Akzent, Emotion und Artikulationsstörung). Die Forschung zeigt, dass Attribute, die in den Vortrainingsdaten unterrepräsentiert oder fehlend sind, anfälliger für solche Inferenzangriffe sind. Besonders hervorzuheben ist, dass Akzentinformationen zuverlässig aus allen Modellen abgeleitet werden können.

Forschungshintergrund und Motivation

Problemdefinition

  1. Kernproblem: Geben ASR-Modelle in föderierter Lernumgebung sensible persönliche Attributinformationen von Benutzern durch Modellgewichtsaktualisierungen preis?
  2. Datenschutzbedrohung: Sprachdaten enthalten umfangreiche persönliche Informationen, einschließlich demografischer Merkmale (Geschlecht, Alter, Akzent), klinischer Zustände (Artikulationsstörungen) und emotionaler Zustände

Relevanzanalyse

  1. Rechtliche Compliance: Attributlecks können gegen GDPR, HIPAA und Antidiskriminierungsgesetze in den USA und der EU verstoßen
  2. Datenschutz: Der Americans with Disabilities Act (ADA) schützt Menschen mit Behinderungen vor Diskriminierung; die Offenlegung von Sprachbehinderungsinformationen hat schwerwiegende Folgen
  3. Praktische Bedrohung: Selbst ohne Identitätsoffenlegung stellt die bloße Offenlegung von Attributen wie Akzent oder Emotionalzustand eine schwerwiegende Datenschutzverletzung dar

Einschränkungen bestehender Methoden

  1. Föderierte Lernhypothesen: Obwohl föderiertes Lernen den Datenschutz durch Beibehaltung von Rohaudios auf Geräten verbessert, können Modellaktualisierungen dennoch sensible Informationen preisgeben
  2. Forschungslücke: Frühere Arbeiten konzentrierten sich hauptsächlich auf Sprecherwiederidentifikation und Mitgliedschaftsinferenzangriffe, aber der Umfang von Attributlecks bleibt unzureichend erforscht
  3. Bedrohungsmodell: Es fehlt eine systematische Untersuchung von Attributinferenz nur durch Gewichtsaktualisierungen

Kernbeiträge

  1. Erste systematische Untersuchung: Erste umfassende Analyse der Anfälligkeit für persönliche Attributlecks in föderierter ASR
  2. Multi-Attribut-Bewertung: Bewertung von drei führenden ASR-Modellen auf fünf sensible Attribute (Geschlecht, Alter, Akzent, Emotion, Artikulationsstörung)
  3. Angriffsmethode: Nichtparametrische White-Box-Angriffsmethode basierend auf Gewichtsdifferenzen ohne Zugriff auf Rohsprachdaten
  4. Schlüsselfunde: Attribute mit Unterrepräsentation in Vortrainingsdaten sind anfälliger für Lecks, besonders Akzentinformationen
  5. Schutzerkenntnisse: Empirische Evidenz für die Abschwächung von Attributlecks durch Diversifizierung von Vortrainingsdaten

Methodische Details

Bedrohungsmodell

Die Studie verwendet ein passives Server-seitiges Angreifermodell:

  • Angreiferfähigkeiten: Zugriff auf globales Modell Wg und lokal trainiertes Modell Ws des Zielsprechers
  • Angriffsbeschränkungen: Kein Zugriff auf Rohaudios, Transkripte oder Metadaten
  • Angriffsziel: Inferenz geschützter persönlicher Attribute nur durch Gewichtsdifferenzen
  • Trainingsannahme: Jedes Modell wird auf einer einzelnen Äußerung eines einzelnen Sprechers feinabgestimmt

Attributinferenz-Angriffssalgorithmus

1. Schattenmodellkonstruktion

Verwendung öffentlicher Datensätze zur Simulation des Feinabstimmungsprozesses:

Für jede Stichprobe (xi, yi), i = 1,...,n:
1. Feinabstimmung des globalen Modells Wg auf Stichprobe xi
2. Erhalten des Schattenmodells Wi
3. Konstruktion des beschrifteten Datensatzes {(Wi, yi)}

2. Merkmalsextraktion

Extraktion statistischer Zusammenfassungen aus jedem Parametertensor p ∈ Wi:

zi = concat([μp, σp, min(p), max(p)] für jeden p ∈ Wi)

wobei zi ∈ Rd ein Merkmalsvektor fester Länge ist.

3. Klassenzentroid-Berechnung

Berechnung des Zentroiden für jede Klasse:

z̄c = (1/Nc) ∑(i=1 bis Nc) zi, wobei zi ∈ Klasse c

4. Attributinferenz

Für das Zielmodell Ws wird der Merkmalsvektor zs extrahiert und mit normalisierter euklidischer Distanz klassifiziert:

ĉ = argmin_c (||zs - z̄c||2 / (||zs||2 · ||z̄c||2))

Technische Innovationen

  1. Nichtparametrische Methode: Keine Notwendigkeit für Training komplexer Klassifizierer, nur statistische Zusammenfassungen und Distanzmetriken
  2. Gewichtsdifferenzanalyse: Direkte Extraktion von Attributinformationen aus Modellparameteränderungen
  3. Skalierbarkeit: Methode erweitert sich natürlich auf Multi-Klassen-Einstellungen
  4. Praktikabilität: Angriff erfordert relativ geringe Rechenressourcen und Datenmenge

Experimentelle Einrichtung

Datensätze

AttributDatensatzStichprobenBeschreibung
Geschlecht, Alter, AkzentSpeech Accent Archive (SAA)200Kontrollierte Aufnahmen, identisches Skript
ArtikulationsstörungTORGO15 Sprecher8 mit Störung, 7 normal
EmotionRAVDESS24 SprecherVon professionellen Schauspielern dargestellte emotionale Sprache

Experimentelle Aufgabeneinrichtung

  1. Geschlechtserkennung: 200 englische Muttersprachler, 100 männlich/100 weiblich, 75/25 Trainings-Test-Aufteilung
  2. Altererkennung: 18-24 Jahre vs. 35-44 Jahre, 70 männliche Sprecher, 5-fache Kreuzvalidierung
  3. Akzenterkennung: 200 Sprecher, Muttersprachler vs. Nicht-Muttersprachler Englischsprachige
  4. Emotionserkennung: Drei binäre Klassifizierungsaufgaben (ruhig vs. wütend, glücklich vs. traurig, ruhig vs. verängstigt)
  5. Artikulationsstörungserkennung: Leave-One-Speaker-Out-Kreuzvalidierung

ASR-Modelle

  1. Wav2Vec2-Base: 95 Millionen Parameter, auf LibriSpeech vortrainiert
  2. HuBERT-Large: 300 Millionen Parameter, auf LibriSpeech trainiert
  3. Whisper-Small: 244 Millionen Parameter, auf 680.000 Stunden mehrsprachiger Daten trainiert

Experimentelle Ergebnisse

Hauptangriffserfolgsquoten

AufgabeWav2Vec2HuBERTWhisper
Geschlechtserkennung64%63%46%
Altererkennung100%97%94%
Akzenterkennung100%80%93%
Artikulationsstörung59%76%81%
Emotion: ruhig vs. wütend52%67%83%
Emotion: glücklich vs. traurig50%54%75%
Emotion: ruhig vs. verängstigt46%48%73%

Wichtigste experimentelle Erkenntnisse

  1. Signifikante Attributunterschiede: Alter und Akzent zeigen die stärksten Lecks (80-100% Genauigkeit), während Geschlecht am schwierigsten vorherzusagen ist (46-64%)
  2. Modellunterschiede: Whisper zeigt bei allen Attributen außer Geschlecht Leck-Genauigkeit >70%
  3. Statistische Signifikanz: Altererkennung erreicht auf allen Modellen statistische Signifikanz (95% Konfidenzintervall)

Schichtweise Analyseergebnisse

Schichtweise Analyse durch Wav2Vec2 zeigt:

  • Altersinformation: Konsistent hohe Erkennungsrate über alle Schichten
  • Emotion und Artikulationsstörung: Größere Variabilität in mittleren bis späteren Schichten
  • Schichtspezifität: Leistung bestimmter Schichten übertrifft manchmal die Gesamtmodell-Inferenz

Feinkörnige Akzentklassifizierung

Multi-Klassen-Klassifizierungsexperimente für 10 häufigste Akzente:

  • Vor Schutz: Alle Test-Akzente erreichen ≥90% Genauigkeit
  • Nach Schutz: Nach Feinabstimmung mit diversifizierten Akzentdaten sinkt Angriffserfolgsrate auf <20%
  • Verallgemeinerungsfähigkeit: Behält hohe Angriffserfolgsrate bei unbekannten Akzenten (Japanisch, Italienisch, Deutsch, Polnisch, Mazedonisch)

Verwandte Arbeiten

Datenschutzangriffe beim föderiertem Lernen

  1. Mitgliedschaftsinferenzangriffe: Shokri et al. führten erstmals Mitgliedschaftsinferenzangriffe gegen Modelle des maschinellen Lernens ein
  2. Lecks beim kollaborativen Lernen: Melis et al. untersuchten unbeabsichtigte Merkmalslecks beim kollaborativen Lernen
  3. Angriffe im Sprachbereich: Frühere Arbeiten konzentrierten sich hauptsächlich auf Sprecherwiederidentifikation und Mitgliedschaftsinferenz

Sprachattributinferenz

  1. Traditionelle Methoden: Attributerkennung basierend auf Rohsprachsignalen
  2. Datenschutz: Sensibilität und Datenschutzanforderungen von Sprachdaten
  3. Beitrag dieses Papers: Erste Fokussierung auf Attributinferenz nur durch Modellgewichte

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

  1. Anfälligkeitsbestätigung: Föderierte ASR-Modelle weisen tatsächlich Risiken der Preisgabe persönlicher Attribute durch Gewichtsaktualisierungen auf
  2. Attributrelevanz: Der Grad der Preisgabe steht in engem Zusammenhang mit der Repräsentation von Attributen in Vortrainingsdaten
  3. Schutzstrategie: Diversifizierung von Vortrainingsdaten kann Lecks bekannter Attribute wirksam abschwächen

Einschränkungen

  1. Experimentelle Skalierung: Einige Aufgaben haben kleinere Stichprobengrößen, was die Verallgemeinerbarkeit der Ergebnisse beeinflussen kann
  2. Sprachbeschränkung: Hauptsächlich auf englische Sprache konzentriert; Lecks in mehrsprachigen Umgebungen erfordern weitere Untersuchung
  3. Angriffsmodell: Berücksichtigung nur passiver Angreifer; aktive Angriffe könnten schwerwiegendere Lecks verursachen
  4. Praktische Einschränkungen: Die Annahme einer Feinabstimmung mit einzelnen Äußerungen entspricht möglicherweise nicht vollständig realen Föderiertes-Lernen-Szenarien

Zukünftige Richtungen

  1. Schutzmechanismen: Entwicklung effektiverer Datenschutztechniken wie Differenzielle Privatsphäre und sichere Aggregation
  2. Mehrsprachige Forschung: Erweiterung auf mehrsprachige und sprachübergreifende Szenarien
  3. Dynamischer Schutz: Untersuchung von Methoden zur Echtzeiterfassung und Verhinderung von Attributlecks
  4. Theoretische Analyse: Theoretische Analyse der Grundursachen von Attributlecks

Tiefgreifende Bewertung

Stärken

  1. Bedeutsame Forschung: Erste systematische Offenlegung der Anfälligkeit föderierter ASR-Modelle für Attributlecks mit wichtiger Datenschutzbedeutung
  2. Angemessene Methodengestaltung: Einfache und effektive Angriffsmethode, glaubwürdiges Bedrohungsmodell
  3. Umfassende Experimente: Abdeckung mehrerer Attribute, mehrerer Modelle und detaillierter Analyseexperimente
  4. Tiefe Erkenntnisse: Entdeckung der wichtigen Beziehung zwischen Vortrainingsdatendiversität und Datenschutz
  5. Praktischer Wert: Wichtige Anleitung für Datenschutz in föderiertem Lernen

Mängel

  1. Datensatzbeschränkungen: Einige Experimente verwenden kleinere Datensätze, was die statistische Zuverlässigkeit beeinflussen kann
  2. Angriffsannahmen: Die Annahme einer Feinabstimmung mit einzelnen Äußerungen ist zu vereinfacht; praktische Anwendungen verwenden normalerweise mehr Daten
  3. Schutzbeurteilung: Bewertung von Schutzmethoden ist relativ begrenzt; umfassendere Sicherheitsanalyse erforderlich
  4. Rechenkomplexität: Rechenkomplexität und Machbarkeit des Angriffs nicht detailliert analysiert

Auswirkungen

  1. Akademischer Beitrag: Eröffnet neue Forschungsrichtung für Datenschutz beim föderiertem Lernen; erwartet weitere verwandte Forschung
  2. Praktische Anleitung: Wichtige Sicherheitsüberlegungen für industrielle Bereitstellung föderierter ASR-Systeme
  3. Politische Auswirkungen: Forschungsergebnisse können Formulierung und Umsetzung relevanter Datenschutzbestimmungen beeinflussen
  4. Technologischer Fortschritt: Fördert Entwicklung sicherer föderierter Lernalgorithmen und Datenschutztechniken

Anwendungsszenarien

  1. Föderierte ASR-Systeme: Direkt anwendbar auf Sicherheitsbewertung verschiedener föderierter Spracherkennungsanwendungen
  2. Datenschutzaudit: Kann als Sicherheitsaudit-Tool für Datenschutzsysteme dienen
  3. Modellgestaltung: Wichtige Referenz für Gestaltung sicherer Sprachmodelle
  4. Regulatorische Compliance: Hilft Organisationen bei Bewertung und Sicherung der Compliance von Sprach-KI-Systemen

Literaturverzeichnis

  1. Baevski et al. "wav2vec 2.0: A framework for self-supervised learning of speech representations." NeurIPS 2020.
  2. Hsu et al. "HuBERT: Self-supervised speech representation learning by masked prediction of hidden units." IEEE/ACM TASLP 2021.
  3. Radford et al. "Robust speech recognition via large-scale weak supervision." ICML 2023.
  4. Shokri et al. "Membership inference attacks against machine learning models." IEEE S&P 2017.
  5. Melis et al. "Exploiting unintended feature leakage in collaborative learning." IEEE S&P 2019.

Dieses Paper offenbart wichtige Datenschutzrisiken beim föderiertem Lernen im Sprachbereich und bietet wertvolle Erkenntnisse und Anleitung für den Aufbau sicherer Sprach-KI-Systeme. Die Forschung hat nicht nur bedeutende akademische Werte, sondern auch tiefgreifende Auswirkungen auf praktische Anwendungen.