2026年人工智能数据安全基础考试题库及解析

2026年人工智能数据安全基础考试题库及解析一、单项选择题（每题2分，共30分）1.在联邦学习框架中，以下哪项技术最能有效降低模型参数在传输过程中被逆向推导原始数据的风险？A.同态加密B.差分隐私C.安全多方计算D.梯度压缩答案：B解析：差分隐私通过在梯度更新中添加校准噪声，使得攻击者难以从共享梯度反推出个体样本，是目前联邦学习中最主流的隐私保障手段之一。2.若某数据集满足ε-差分隐私，当ε从0.1增大到1时，隐私保护强度与模型可用性分别如何变化？A.增强，降低B.减弱，增强C.增强，增强D.减弱，降低答案：B解析：ε越大，隐私预算消耗越快，隐私保护强度减弱；但同时注入的噪声减少，模型可用性提高。3.在模型逆向攻击中，攻击者通常利用哪一类信息最易还原训练样本？A.模型权重初始化种子B.损失函数曲线C.梯度信息D.验证集准确率答案：C解析：梯度信息（尤其是高维梯度）与输入样本存在强耦合，通过优化方法可近似还原原始图像或文本。4.以下关于同态加密的描述，正确的是：A.CKKS方案支持精确整数运算B.BFV方案支持浮点数近似运算C.BGV方案支持有限域上的明文打包D.Paillier方案支持单指令多数据（SIMD）答案：C解析：BGV支持将多个明文打包到单个密文中，实现SIMD并行计算；CKKS与BFV用途相反；Paillier不支持SIMD。5.在AI模型供应链安全中，针对“模型仓库”环节最需防范的威胁是：A.训练数据投毒B.模型文件被篡改植入后门C.推理侧信道泄露D.联邦学习客户端掉线答案：B解析：模型仓库负责分发预训练权重，若被篡改植入后门，下游用户直接继承恶意行为，影响面广。6.若采用SecureBoost实现纵向联邦学习，以下哪项不是其默认安全假设？A.参与方半诚实B.标签方不可被收买C.通信信道已建立TLSD.各参与方特征空间无交集答案：D解析：SecureBoost允许特征空间有交集，其安全假设主要围绕半诚实敌手与标签方可信。7.在对抗样本迁移性研究中，以下哪种方法最可能降低黑盒模型上的迁移成功率？A.增加迭代步数B.使用MI-FGSM动量方法C.对输入图像进行随机缩放与填充D.提高扰动范数上限答案：C解析：随机变换破坏对抗扰动的结构性，显著降低跨模型迁移率。8.关于模型水印，以下哪项属于“白盒”验证方式？A.提取API输出置信度向量B.检测特定触发集激活率C.读取模型权重并验证嵌入签名D.观察输入-输出关系熵值答案：C解析：白盒验证需访问内部参数，通过密钥提取嵌入权重中的签名序列。9.在数据脱敏场景中，k-匿名要求每个等价类至少包含k条记录，若某表有1000条记录，当k=5时，最大可抑制记录数为：A.0B.3C.4D.5答案：C解析：1000mod5=0，理论上无需抑制；但存在极端离群值时，最多可允许4条不满足，剩余996条可形成199个5-匿名组。10.以下哪项不是GPUTEE（可信执行环境）当前面临的主要挑战？A.显存加密带宽开销B.CUDA上下文切换延迟C.侧信道泄露纹理缓存时序D.动态形状模型导致页表碎片化答案：D解析：页表碎片化属于通用显存管理问题，与TEE安全边界无直接关联。11.在模型压缩场景中，若采用稀疏化+量化联合方案，为防止权重泄露隐私，应优先：A.对稀疏掩码也加入差分隐私噪声B.仅对非零值做量化C.使用非均匀量化表D.在明文域计算稀疏率答案：A解析：稀疏掩码本身可能泄露特征重要性，对其加噪可阻断基于稀疏模式的成员推理。12.关于“梯度下降逃逸深度伪造检测”攻击，其核心思想是：A.在像素空间添加扰动使检测器梯度消失B.在潜在空间优化使检测器损失上升C.在频率域添加高通噪声D.在压缩域修改量化步长答案：B解析：攻击者将伪造图像映射到潜在空间，通过梯度上升迭代寻找检测器损失最大方向，实现逃逸。13.若采用MPC进行安全推理，以下哪项操作在算术秘密共享下计算开销最大？A.ReLUB.MaxPoolC.BatchNormD.Conv2d答案：B解析：MaxPool需比较运算，需通过比特分解与多数表决协议，通信轮次远高于线性层。14.在零知识证明（ZKP）验证模型推理正确性时，以下哪项最适合作为前端承诺方案？A.Merkle树B.Pedersen承诺C.KZG多项式承诺D.RSA累加器答案：C解析：KZG承诺具有常数大小验证、支持多项式开放，适配CNN权重张量承诺需求。15.当使用联邦学习训练医疗影像模型时，若客户端本地数据量差异极大，为防止模型偏向大数据方，应优先：A.增加全局轮数B.采用FedProx约束本地更新C.降低学习率D.使用知识蒸馏答案：B解析：FedProx通过近端项限制本地更新偏离全局模型，有效缓解非独立同分布与数据量不均问题。二、多项选择题（每题3分，共15分）16.以下哪些技术组合可在“模型即服务”场景下同时实现“数据不出域”与“模型不可盗用”？A.联邦学习+模型水印B.同态加密+远程attestationC.差分隐私+SecureenclaveD.安全多方计算+梯度混淆答案：A、B、C解析：A通过联邦学习保持数据本地，水印防止模型盗用；B同态加密保护推理输入，attestation验证运行环境；Cenclave确保模型运行不可窃取，差分隐私防止成员推理。D梯度混淆无法阻止模型提取。17.关于成员推理攻击（MIA），以下哪些指标可用于衡量攻击效果？A.攻击准确率B.攻击AUCC.成员推断优势（Advantage）D.模型测试准确率答案：A、B、C解析：D属于模型性能指标，与MIA效果无直接对应。18.在对抗训练过程中，以下哪些做法可能增大模型鲁棒性与隐私泄露风险？A.增大扰动半径εB.使用早期停止C.采用梯度惩罚正则D.增加模型宽度答案：A、D解析：A更大扰动提升鲁棒性，但也可能增强梯度泄露信号；D更宽模型容量大，易记住训练样本，提升MIA成功率。19.以下哪些属于GPU侧信道攻击可利用的物理信号？A.功耗轨迹B.电磁辐射C.显存访问时序D.风扇转速变化答案：A、B、C、D解析：风扇转速与功耗相关，可间接反映计算负载，形成时间侧信道。20.在构建可验证深度学习推理系统时，以下哪些层可直接用zk-SNARK电路高效表示？A.ReLUB.Conv2d（小尺寸核）C.BatchNormD.Softmax答案：A、B、C解析：Softmax涉及指数与除法，需大量查找表与范围证明，电路规模爆炸，通常改用温度缩放或量化替代。三、判断题（每题1分，共10分）21.差分隐私的隐私预算ε可随查询次数线性累加而不会降低保护强度。答案：错解析：ε可累加，累加后保护强度降低，需采用高级组合或矩会计降低总预算。22.同态加密中，BFV方案的明文模数t必须小于密文模数q，且t与q互质。答案：对解析：这是BFV正确解密的基本数论要求。23.联邦平均（FedAvg）在客户端本地epoch过多时，必然导致模型发散。答案：错解析：若数据分布较均匀，适当增加epoch可加速收敛，不必然发散。24.模型逆向攻击对决策树模型的威胁通常低于对CNN模型的威胁。答案：对解析：决策树分裂条件仅依赖少量特征，信息泄露面窄，难以还原高维原始样本。25.使用知识蒸馏防御对抗样本时，教师模型与学生模型结构必须完全相同。答案：错解析：结构不同仍可蒸馏，但差异过大会降低迁移鲁棒性。26.在TEE环境中运行模型推理，若启用页缓存加密，则侧信道攻击面可降为零。答案：错解析：仍可能存在缓存时序、分支预测等微架构侧信道。27.梯度压缩中的Top-k稀疏化会削弱差分隐私噪声的隐私放大效果。答案：对解析：Top-k使噪声分布非独立，降低矩会计的隐私放大因子。28.零知识证明可用于证明“模型在特定输入上的输出等于某值”而不泄露权重。答案：对解析：这是zk-SNARK在机器学习推理验证的典型应用。29.模型水印的鲁棒性指水印在模型微调后仍能被提取，而不可检测性指水印对模型精度无影响。答案：对解析：分别对应鲁棒性与隐蔽性定义。30.在纵向联邦学习中，若标签方被收买，则任何加密协议都无法阻止标签泄露。答案：错解析：可采用安全标签转换或同态加密标签，使标签方也无法获得明文。四、填空题（每空2分，共20分）31.在ε-差分隐私中，若机制M满足对任意相邻数据集D,D'及任意输出S，有P[M(D)∈S]≤e^ε·P[M(D')∈S]，则称ε为________。答案：隐私预算（或隐私损失参数）32.CKKS方案中，明文向量z∈ℂ^{N/2}被编码为多项式m(X)∈R=ℤ[X]/(X^N+1)，该编码过程称为________编码。答案：CRT（或中国剩余定理）同构编码33.联邦学习中的“梯度泄露”攻击最早由________等人于2019年提出，可还原MNIST图像。答案：Hitaj34.在模型水印领域，________触发集（triggerset）指嵌入模型的一组特殊输入，其输出行为仅水印验证者知晓。答案：对抗（或后门）35.若采用安全多方计算实现ReLU，需将算术共享[x]转换为二进制共享[x]_2，该过程称为________转换。答案：比特分解（或ABY框架中的A2B）36.当使用MPC进行矩阵乘法C=AB，若A为m×n，B为n×p，则通信复杂度为________（忽略常数）。答案：O(mnp)37.在零知识证明系统中，________信任设置（trustedsetup）一旦泄露，可造成任意伪造证明。答案：公共参考串（CRS）38.对抗训练的目标函数可写为：min_θ𝔼_{(x,y)∼D}[max_{δ∈Δ}ℓ(f_θ(x+δ),y)]，其中Δ通常取________范数球。答案：ℓ_∞39.在GPUTEE设计中，________缓存（texturecache）因未加密而成为侧信道泄露源。答案：纹理40.若某模型满足(α,ε)-Rényi差分隐私，则其隐私损失随机变量服从________分布。答案：次高斯（或sub-Gaussian）五、简答题（每题8分，共24分）41.简述联邦学习场景下“模型投毒”与“数据投毒”的区别，并给出一种针对模型投毒的检测思路。答案：模型投毒指攻击者直接篡改本地训练后上传的权重或梯度，意图影响全局模型；数据投毒则通过修改本地训练数据实现。前者无需触碰数据，后者需控制数据生成或标注。检测思路：服务器可采用基于余弦相似度的异常检测，计算各客户端更新与历史中位更新的夹角，若角度持续大于阈值τ且更新范数异常大，则标记为可疑并剔除。42.说明在差分隐私随机梯度下降（DP-SGD）中，为何需要“梯度裁剪”与“噪声注入”两步，并给出裁剪阈值C的选取原则。答案：梯度裁剪将单个样本梯度范数限制在C以内，确保敏感度为C，从而控制噪声尺度；噪声注入则根据敏感度与隐私预算添加高斯噪声。C选取原则：可通过在非私有训练集上做网格搜索，选择使模型保持90%原始精度的最小C，既控制噪声方差σ²=2C²ln(1.25/δ)/ε²，又避免过度削弱信号。43.简述zk-SNARK在CNN推理验证中的主要瓶颈，并提出两种缓解方案。答案：瓶颈：CNN含大量ReLU与浮点运算，需转换为有限域算术电路，导致电路门数爆炸，证明生成耗时。缓解方案：1.采用量化+ReLU替换为二次函数，降低非线性度；2.使用递归证明（Nova、Halo2）将大图切片为小图，分别证明后聚合，减少单次电路规模。六、计算题（共21分）44.（10分）某医院联合银行纵向联邦训练信贷违约预测模型，医院有特征X∈ℝ^{100}，银行有标签y∈{0,1}。双方采用安全逻辑回归，使用Paillier加密梯度。设学习率η=0.01，正则化λ=0.001，样本数n=5000。若医院方在加密域计算得到加密梯度∑_{i=1}^n(ŷ_i-y_i)x_i=[198.2]_c，请计算医院方在明文域应更新的权重增量Δw（忽略偏置），并给出Paillier解密后的数值。答案：明文梯度g=198.2，正则项梯度为λw，假设上一轮w=0，则总梯度g_total=198.2+0=198.2。Δw=-ηg_total=-0.01×198.2=-1.982。Paillier解密后数值即为-1.982。45.（11分）某图像分类模型采用(8,4)量化方案：权重w∈[-1,1]映射到8位整数q_w=round((w+1)×127.5)。现对权重张量W∈ℝ^{32×32×3×64}进行差分隐私发布，需满足ε=1，δ=10^{-5}。已知L2敏感度Δ₂=0.3，求需添加的高斯噪声标准差σ，并计算压缩后存储节省比例。给出LaTex公式。答案：高斯噪声标准差：σ存储节省：原32位浮点，压缩后8位，节省比例=七、综合设计题（共20分）46.某城市场景需部署跨摄像头行人重识别（ReID）系统，要求：1.各摄像头视频流不出本地；2.中心服务器无法获取原始图像；3.模型更新需可验证未被篡改；4.推理结果需支持第三方审计而不泄露模型。请设计一套满足上述需求的系统架构，说明关键技术选型与数据流向，并给出威胁模型与对应缓解措施。答案：架构：1.本地端：摄像头→边缘盒子→特征提取器（ResNet50）→同态加密（CKKS）提取512维浮点特征→上传密文特征。2.中心：接收密文特征，执行安全最近邻检索（MPC协议，基于BFV+ABY3