由於在 FL 中，資料永遠不會離開其所有者的場所，可以假設 FL 完全可以防止濫用，FL 比傳統的 ML 方法更安全，它仍然存在一些常見的攻擊方式。

隱私攻擊

旨在識別底層訓練資料或觸發最終訓練模型的錯誤分類的隱私攻擊。

• 模型反轉攻擊
  旨在重建訓練資料有權存取目標標籤的潛在攻擊者可以查詢最終訓練的模型並利用返回的分類分數來重建其餘資料。
• 成員推理攻擊
  攻擊者試圖確定某些資料是否是訓練的一部分與模型反轉攻擊一樣，攻擊者利用返回的分類分數來創建多個這些 影子 模型，模型與受攻擊的原始模型具有相似的分類邊界。
  給定一個 黑盒 機器學習模型和一個資料記錄，確定該記錄是否用作模型的訓練資料集的一部分，被證明是可能的，具有極高的準確性。
  因此，僅對在給定輸入上返回模型輸出的黑盒 API 進行簡單的查詢訪問，就可能洩露有關模型訓練所依據的各個資料記錄的大量訊息。
  推理攻擊的準確性隨著類別數量的增加而增加。

中間人 (MITM) 攻擊

中間人(Man-in-the-middle, MITM)攻擊能夠干擾和欺騙雙方甚至一個或多個參與者是惡意的場景在後者的情況下，惡意資料提供商可以汙染機器學習(ML)模型。
使其在最終測試階段做出錯誤分類或預測，機器學習(ML)模型(Model)的所有者將難以區分汙染模型(Poisson Model)和良性模型。

• 模型編碼攻擊
  具有模型白盒存取權限的攻擊者試圖識別的訓練資料記憶模型權重。
  在黑盒情況下，攻擊者過度擬合原始訓練模型以使其洩漏部分目標標籤。
• 模型竊取攻擊
  展示了惡意參與者試圖的場景竊取模型由於模型被發送給參與者進行訓練，惡意參與者可以構建模仿原始模型決策邊界的第二個模型在這種情況下，惡意參與者可以避免向原始模型的 ML 專家支付使用費或將模型出售給第三方。
• 模型中毒攻擊
  由於惡意參與者有助於模型的訓練，他們能夠向訓練模型注入後門觸發器，因此，最終訓練好的模型對 ML 專家來說似乎是合法的，並且僅對給定的後門觸發器輸入做出惡意反應在這種情況下，，惡意參與者可能會 欺騙 當給出某些輸入時原始模型。
• 中毒後門觸發器
  與資料中毒攻擊相反，是訓練資料的一部分，ML 模型的準確性可能會下降。
• 對抗性範例
  攻擊者試圖 欺騙 模型以對預測進行錯誤分類此類攻擊的威脅模型有白盒和黑盒兩種；因此，攻擊者不需要存取訓練過程，潛在的攻擊場景是逃避 ML 入侵檢測系統檢測的惡意軟體。