本文提出了一种 multi-task 的 GAN（multi-task GAN for Auxiliary Identification (mGAN-AI)） ，可以恢复 client 级别的多种隐私，包括 数据所属的类别、真假、来自哪一个 client，最后还能实现 某位client 训练数据的恢复。

现有工作的不足

Hitaj et al. [4] proposed a GAN-based reconstruction attack against the collaborative learning by assuming a malicious client, which utilized the shared model as the discriminator to train a GAN.

本文对比 Hitaj et al. [4] 的论文，提出了其方法的三种局限性：
（1）作为一种主动性的攻击，其会对原来的训练过程带来
adversarial influence。
（2）由于FL场景下的参数平均机制，单一 client 发起的主动攻击会被削弱。
（3）GAN-based attack 只能推断某一类的表征，并不能推断某一 client 训练数据的主要表征，即无法做到 client-level。

攻击场景

假设有一个 server （本文讨论了malicious 和 non-malicious两种情况），其可以得到每一个 client 上传的梯度，企图恢复 client 级别的隐私数据，包括 数据所属的类别、真假、来自哪一个 client，最后还能实现 某位client 训练数据的恢复。