快速摘要
訓練一個 AI 模型可能花費數百萬美元。模型竊取和逆向工程是指攻擊者透過大量查詢 API 來複製模型行為,或直接竊取模型權重。本文介紹攻擊方法與防護策略。

模型面臨的威脅

  • 模型竊取:透過 API 大量查詢,訓練一個行為相似的替代模型
  • 逆向工程:推斷模型的架構、參數或訓練資料
  • 權重竊取:直接竊取模型檔案(內部人員、系統入侵)
  • 蒸餾攻擊:用大模型的輸出來訓練小模型

模型竊取方法

攻擊者透過以下方式複製模型行為:

  1. 大量發送精心設計的查詢
  2. 收集模型的輸出(包括信心分數、logprobs)
  3. 用收集的輸入-輸出對訓練替代模型
  4. 逐步改善替代模型直到行為接近原始模型

OpenAI 和 Anthropic 的使用條款明確禁止使用輸出來訓練競爭模型,但技術上難以阻止。

防護策略

  • 速率限制:限制 API 呼叫頻率,增加大量查詢的成本
  • 輸出限制:不回傳 logprobs 或信心分數給非必要的使用者
  • 查詢監控:偵測異常的查詢模式(如大量相似查詢)
  • 模型浮水印:在模型輸出中嵌入隱藏的浮水印
  • 法律保護:使用條款中明確禁止模型複製行為

模型浮水印

模型浮水印是在模型輸出中嵌入不可見的標記,用於證明輸出來自特定模型。如果有人用你的模型輸出訓練了替代模型,浮水印可以作為侵權的證據。

目前的技術包括:

  • 文字浮水印:控制生成文字中特定 token 的出現頻率
  • 圖片浮水印:在 AI 生成的圖片中嵌入不可見標記
  • 行為浮水印:在模型的決策邊界中嵌入特定模式

常見問題

我的 fine-tuned 模型會被偷嗎?

如果你把 fine-tuned 模型部署為 API,理論上可以被模型竊取。風險取決於你的模型有多獨特和有多大的商業價值。建議加入速率限制和查詢監控。

開源模型有模型安全的問題嗎?

開源模型的權重是公開的,所以不存在「竊取」問題。但開源模型可能被用於惡意用途(如生成有害內容),這是另一類安全問題。

模型浮水印可靠嗎?

目前的浮水印技術還在發展中,部分方法可以被移除或繞過。但作為侵權的輔助證據仍有價值。Google、OpenAI 和 Anthropic 都在研究更強的浮水印技術。