随着人工智能（AI）能力呈指数级提升，围绕用户数据隐私的担忧也在同步升级。

全球范围内，越来越多的机构开始采用一种名为“联邦遗忘”的技术，让AI在不集中存储敏感数据的前提下完成训练。借助这一方法，医院、银行和政府部门可以在数据留在本地的情况下协同训练模型，被视为隐私保护上的一大进步。

联邦遗忘的核心承诺是：用户的数据可以从已经训练好的AI系统中被“抹除”。例如，一家医院可以要求其AI系统忘记某位患者的相关数据。

在欧盟，这与“被遗忘权”的法律概念相对应。全球其他地区也存在类似的数据删除权，只是法律约束力和技术实现方式各不相同。

然而，如果发起遗忘请求的一方本身并不可信，会发生什么？研究表明，联邦遗忘虽然看似是数据权利的自然延伸，却同时带来了新的隐蔽安全风险，可能动摇我们对数字系统的信任基础。

隐蔽漏洞的新形式

在联邦遗忘框架下，各参与方会在本地数据上训练各自的模型，然后将模型更新发送至中央服务器。服务器再将这些更新聚合，形成一个共享模型，从而利用多方数据的规模与多样性。

研究人员早已发现，这类联邦学习系统容易遭受数据投毒攻击：攻击者通过操纵本地训练数据，悄然改变共享模型的行为。

这类投毒攻击可以植入只在特定条件下触发的隐蔽漏洞，也就是所谓“后门”。

联邦遗忘的引入，使这种威胁出现了新的、更微妙的变体。

攻击者可能先向模型注入恶意模式，随后再发起删除自身数据的请求。如果遗忘机制并不彻底——而当前许多方案确实存在不足——那么攻击的显性痕迹会被抹去，但潜在影响仍然残留在模型中。

被忽视的安全盲点

这一问题在跨行业层面上形成了一种新的国家安全隐患，而且往往不易被察觉。

在一个假设情境中，攻击者可以通过反复提交遗忘请求，逐步削弱模型性能。这种破坏是缓慢且隐蔽的，不会像传统网络攻击那样导致系统立刻崩溃，而是长期侵蚀模型的可靠性。

在另一个场景中，攻击者可以精确把握数据删除的时机，从而影响模型输出。例如，在关键时刻撤回某些数据贡献，可能悄然改变金融风险模型的判断结果。

联邦系统的分布式特性进一步放大了这些风险。由于数据分散在各参与方本地，很难清晰追踪单个数据贡献对最终模型的具体影响。

结果就是，一个原本用于增强隐私保护的机制，反而可能在系统内部制造出难以监测的安全盲区。

现有技术方案的局限

目前许多联邦遗忘技术在设计时更强调效率。它们通常通过近似方法来“抵消”某些数据的影响，而不是从头重新训练整个模型——后者在算力和时间成本上都非常高。

这种折中方案虽然实用，却存在明显限制。

新近研究显示，即便尝试移除某些数据的影响，机器学习模型仍可能保留复杂的模式。在对抗性环境中，这些残留模式可能让恶意影响在“遗忘”之后依旧持续存在。

与此同时，现有系统中几乎缺乏对遗忘请求本身合法性的系统性校验。这不仅是技术缺口，更是结构性问题，可能演变成多重安全漏洞的源头。

遗忘操作本身就是安全问题

联邦遗忘往往被简单视作一种隐私功能，但这种理解并不完整。事实上，从模型中移除数据会直接改变模型行为，而且这种变化有时难以预测。

因此，遗忘不应仅被看作数据管理工具，而应被视为安全敏感操作。

与其他关键系统操作类似，联邦遗忘需要接受严格的验证、审计与持续监控。例如：

• 验证遗忘请求的来源与权限是否合法；
• 在数据移除前后，跟踪模型行为的变化情况；
• 识别频繁、异常或可疑的遗忘请求模式；
• 设计更可靠的技术手段，确保恶意影响被真正彻底移除。

AI治理的关键窗口期

AI系统正越来越多地参与影响个人生活的重要决策，从医疗诊断到信贷审批，隐私保护与系统可靠性在这些场景中同样关键。

联邦遗忘正处在这两者的交汇点上：一方面，它旨在强化数据权利；另一方面，它也可能引入尚未被充分认识的安全风险。如果这些风险被忽略，本应提升信任的机制反而可能削弱信任。

以加拿大为例，该国正处在塑造AI系统治理框架的关键阶段，围绕数据删除、问责机制与透明度的政策正在快速演进。

联邦遗忘很可能会成为这一治理体系中的重要组成部分。在推动其落地应用的同时，也必须将其视为安全关键机制，给予与其他核心安全技术同等的审查力度。

真正的挑战不只是让AI“忘记”数据，而是在遗忘的过程中，确保不会让更危险的东西悄然留下。

本文内容根据 The Conversation 文章整理与改写，并遵循其知识共享许可协议。