开篇故事：一次“安全”的联邦学习，为何泄露了病历？去年，我的一位朋友小张在医疗AI公司做联邦学习平台。他们用Intel SGX保护了节点间的梯度聚合过程，自信满满地认为“数据不出本地，梯度在Enclave内聚合，绝对安全”。直到某天，一位攻击者仅通过公开的全局模型参数，就成功还原出了某位患者的X光片——连病灶位置都清晰可见。小张崩溃了：“我们的梯度聚合在Enclave里运行，攻击者根本拿不到梯度啊！” 问题恰恰在于：攻击者不需要梯度，只需要模型参数。当模型训练完成后，部署的全局模型本身就可能是一个“记忆库”，尤其是过拟合的模型，会记住训练数据中的异常样本。这个案例告诉我们：TEE内的梯度保护只是第一道防线，模型逆向攻击（Model Inversion Attack）才是真正的“杀手锏”。今天，我们就来拆解这种攻击的原理、实现，以及如何在TEE内部构建防御体系。痛点拆解：常见认知误区与反例代码误区1：“只要梯度不泄露，模型参数就是安全的”这是最常见的错误认知。事实上，模型参数本身就是训练数据的“压缩表示”。当模型在训练数据上过拟合时，参数会存储大量数据特征。攻击者可以通过优化输入，使得模型输出与目标标签的置信度最高，从而还原出训练样本。误区2：“差分隐私加噪后，模型参数就不可逆了”很多开发者以为在训练过程中加入噪声就万事大吉。但噪声的幅度如果控制不