快速摘要
訓練一個 AI 模型可能花費數百萬美元。模型竊取和逆向工程是指攻擊者透過大量查詢 API 來複製模型行為,或直接竊取模型權重。本文介紹攻擊方法與防護策略。
模型面臨的威脅
- 模型竊取:透過 API 大量查詢,訓練一個行為相似的替代模型
- 逆向工程:推斷模型的架構、參數或訓練資料
- 權重竊取:直接竊取模型檔案(內部人員、系統入侵)
- 蒸餾攻擊:用大模型的輸出來訓練小模型
模型竊取方法
攻擊者透過以下方式複製模型行為:
- 大量發送精心設計的查詢
- 收集模型的輸出(包括信心分數、logprobs)
- 用收集的輸入-輸出對訓練替代模型
- 逐步改善替代模型直到行為接近原始模型
OpenAI 和 Anthropic 的使用條款明確禁止使用輸出來訓練競爭模型,但技術上難以阻止。
防護策略
- 速率限制:限制 API 呼叫頻率,增加大量查詢的成本
- 輸出限制:不回傳 logprobs 或信心分數給非必要的使用者
- 查詢監控:偵測異常的查詢模式(如大量相似查詢)
- 模型浮水印:在模型輸出中嵌入隱藏的浮水印
- 法律保護:使用條款中明確禁止模型複製行為
模型浮水印
模型浮水印是在模型輸出中嵌入不可見的標記,用於證明輸出來自特定模型。如果有人用你的模型輸出訓練了替代模型,浮水印可以作為侵權的證據。
目前的技術包括:
- 文字浮水印:控制生成文字中特定 token 的出現頻率
- 圖片浮水印:在 AI 生成的圖片中嵌入不可見標記
- 行為浮水印:在模型的決策邊界中嵌入特定模式
常見問題
我的 fine-tuned 模型會被偷嗎?
如果你把 fine-tuned 模型部署為 API,理論上可以被模型竊取。風險取決於你的模型有多獨特和有多大的商業價值。建議加入速率限制和查詢監控。
開源模型有模型安全的問題嗎?
開源模型的權重是公開的,所以不存在「竊取」問題。但開源模型可能被用於惡意用途(如生成有害內容),這是另一類安全問題。
模型浮水印可靠嗎?
目前的浮水印技術還在發展中,部分方法可以被移除或繞過。但作為侵權的輔助證據仍有價值。Google、OpenAI 和 Anthropic 都在研究更強的浮水印技術。