联合学习与蒸馏（Federated Learning with Distillation，FD）允许客户端上传在共享公共数据集上评估的输出逻辑值（logits），而不是在私有数据上计算的梯度。尽管人们普遍认为FD比传统的联合学习提供了更强的隐私保护，但最近的研究表明，恶意服务器仍然可以提取敏感信息，例如重建私有样本或推断私有数据集中的标签分布 [1]、[2]。这表明FD并非对敏感信息泄露免疫，从而引发了其他重大隐私威胁（如属性推断攻击）的担忧。基于这些担忧，我们研究了属性推断攻击（Property Inference Attacks，PIA），这类攻击旨在推断私有数据集的属性人口信息（例如人口统计特征或疾病流行率）。然而，大多数现有的PIA方法依赖于与受害者私有数据相同的底层分布，而在FD中这种分布通常是不可用的，因为服务器只能观察到公共数据集的分布。这种分布的变化会显著降低现有PIA方法的有效性。为了克服这一限制，我们提出了PI-FD，这是一种新的PIA方法，它结合了合成数据生成和新型损失函数。在四个数据集上的实验表明，PI-FD的攻击准确率达到了94.07%，这突显了减轻PIA威胁的必要性。