模型窃取:AI 时代的知识产权新威胁

模型窃取(Model Stealing/Extraction)是指攻击者通过查询目标模型,重建一个功能等效的"克隆模型",从而窃取原模型的知识产权和商业价值。

为什么模型窃取是严重威胁

因素说明
研发成本高训练一个 GPT-4 级别模型成本超过 1 亿美元
API 暴露面商业 API 是主要攻击入口
克隆成本低用 API 查询克隆模型的成本远低于从头训练
法律保护弱模型权重作为知识产权的法律保护不完善
检测困难克隆模型与原模型不同,难以证明抄袭

窃取攻击方式

方式一:API 提取攻击

核心原理:通过大量 API 查询,收集输入-输出对,用这些数据训练一个学生模型来模仿目标模型。

经典方法:KnockNets(2020)

攻击流程:
1. 生成大量输入查询(随机/策略性采样)
2. 通过 API 获取目标模型输出(概率分布或 logits)
3. 用输入-输出对训练克隆模型
4. 迭代:用克隆模型指导下一步采样

LLM 时代的提取攻击

LLM 的提取攻击与传统分类器不同:

维度传统分类器提取LLM 提取
输出空间有限类别几乎无限文本
信息量logits 提供丰富信息通常只有文本输出
查询成本高(按 token 计费)
克隆难度中-高
评估指标准确率匹配文本相似度/任务性能匹配

LLM 提取的关键技术

1. 知识蒸馏式提取

目标模型 (Teacher) → 大量 prompt → 输出
学生模型 (Student) ← 训练 ← prompt-output 对

攻击者用目标模型作为"教师",训练一个较小但功能接近的"学生"模型。

2. 对抗性采样

不是随机查询,而是智能选择能最大化信息量的查询:

  • 困难样本优先(模型不确定的输入)
  • 多样性采样(覆盖输入空间)
  • 主动学习策略

3. Logit 提取

部分 API 返回 logit 或 top-k 概率信息。即使只有 top-1 输出,也可以通过多次查询(加入温度扰动)恢复概率分布。

4. 功能等价克隆

不需要完全复制模型权重,只需在目标任务上达到接近性能:

目标: GPT-4 在代码生成任务上的性能
方法: 用代码 prompt 查询 GPT-4 → 训练 CodeLlama 风格模型
结果: 克隆模型在代码任务上接近 GPT-4 水平

成本分析

克隆目标API 查询成本训练成本总成本原始训练成本
BERT-base~$1,000~$500~$1,500~$10,000
GPT-3.5~$50,000~$100,000~$150,000~$5M
GPT-4 级别~$500,000~$2M~$2.5M~$100M+

即使 GPT-4 级别克隆成本显著,也远低于原始训练成本(约 2.5%)。

方式二:蒸馏攻击

攻击者不直接查询 API,而是利用已有的大模型输出作为训练数据:

来源: 互联网上已有的 AI 生成内容(Reddit、Stack Overflow 等)
方法: 收集大量 AI 生成的高质量内容 → 用其训练新模型

这种方法更难检测和防范,因为:

  • 不涉及直接 API 查询
  • 数据来源是公开的互联网内容
  • 难以区分"学习公开内容"和"模型窃取"

方式三:侧信道攻击

不通过 API 输出,而是通过物理/系统侧信道推断模型信息:

侧信道推断信息可行性
推理时间模型大小、层结构低-中
功耗层数、参数量低(需物理接触)
内存访问模式模型结构低(需共享硬件)
缓存时序层间交互极低
网络流量请求处理模式

侧信道攻击在云环境中可行性较低,但在边缘部署(模型部署在用户设备)中风险更高。

方式四:供应链攻击

通过入侵模型供应链(训练数据、预训练权重、微调管线)注入后门或窃取模型:

  • 入侵 HuggingFace 等模型仓库
  • 篡改开源模型权重
  • 恶意微调脚本

防御策略

1. 速率限制与查询监控

防御措施效果用户体验影响
每用户/IP 查询频率限制
每日总量限制
异常查询模式检测
账户级别配额
CAPTCHA 验证

异常查询模式检测是最有效的速率限制增强:

异常模式:
- 同一用户在短时间内发送大量相似 prompt
- prompt 覆盖范围异常广泛(试图覆盖输入空间)
- 使用自动化脚本特征
- 查询模式与正常用户显著不同

2. 输出水印

在模型输出中嵌入不可见或可见水印:

水印类型方法鲁棒性检测难度
统计水印基于绿色/红色 token 列表的偏置
语义水印利用同义词替换编码信息
格式水印特定标点/空格模式
深度水印用神经网络嵌入水印

统计水印原理

1. 随机选择一个"绿色" token 子集(约 50% 词汇)
2. 在生成时,对绿色 token 给予微小的 logit 偏置(如 +0.5)
3. 正常文本中绿色 token 比例 ≈ 50%
4. 水印文本中绿色 token 比例 > 50%
5. 检测:统计文本中绿色 token 比例,假设检验

Google DeepMind 的 SynthID 是目前最先进的文本水印方案,在保持输出质量的同时实现高检测率。

3. 输出扰动

故意在输出中引入噪声,降低克隆模型的训练效果:

方法原理质量影响防窃取效果
温度提升增加输出随机性
Top-k 限制限制输出多样性
偶发错误随机引入轻微错误
对抗性扰动对提取优化的对抗噪声

对抗性扰动是最前沿的防御——在检测到疑似提取行为时,输出经过特殊扰动的响应,这些响应看起来正常但会污染克隆模型的训练数据。

4. API 设计防御

措施描述效果
不返回 logits只返回文本,不返回概率分布
限制 max tokens限制单次输出长度
限制 temperature不允许用户设高温度
输出缓存相同输入返回缓存输出
账户绑定强制实名/企业认证

5. 模型架构保护

措施描述
模型分区将模型拆分为多个服务,不暴露完整 API
推理加密同态加密推理,保护模型参数
可信执行环境TEE 内运行模型
硬件绑定模型与特定硬件绑定,无法迁移

检测方法

提取攻击检测

检测信号方法准确率
查询量异常统计用户日均查询量
查询多样性异常测量 prompt 的语义覆盖度
响应时间分析自动化脚本响应模式
账户行为聚类聚类分析发现协同提取
水印检测在第三方模型中检测水印

克隆模型检测

水印验证:如果原模型植入了水印,可以检测克隆模型是否继承了水印。

检测流程:
1. 用原模型生成带水印的输出
2. 用待验证模型生成相同 prompt 的输出
3. 检测待验证模型输出中是否含有水印模式
4. 如果水印模式一致 → 高概率是克隆模型

指纹技术:利用模型的独特行为模式作为指纹:

  • 特定 prompt 的特定错误模式
  • 对抗样本的特定响应
  • 边界案例的特定行为

法律保护手段

商业秘密保护

要素在 AI 模型中的应用
秘密性模型权重不公开,通过 API 提供服务
商业价值模型具有显著商业价值
合理措施API 限制、合同条款、技术保护
侵权认定通过克隆模型的行为特征证明窃取

合同条款

API 服务条款中应包含:

  • 禁止用输出训练竞争模型
  • 禁止逆向工程
  • 违约赔偿条款
  • 审计权利

著作权保护

模型本身(权重)的著作权保护存在争议,但以下内容可受保护:

  • 训练数据的汇编(数据库权利)
  • 模型架构文档
  • API 接口设计

专利保护

可专利内容说明
模型架构创新新型 Transformer 变体
训练方法新的对齐/优化方法
推理优化量化、蒸馏技术
应用方案特定领域的 AI 应用方案

企业防护清单

模型部署前

  • 评估模型暴露面(API/开源/内部)
  • 实施输出水印
  • 设计 API 限制策略
  • 制定服务条款(禁止提取条款)
  • 评估专利/商业秘密保护方案

模型运营中

  • 部署查询监控和异常检测
  • 定期审计 API 使用模式
  • 监控开源社区是否有疑似克隆模型
  • 定期更新水印方案
  • 维护模型指纹数据库

事件响应

  • 发现疑似窃取时的取证流程
  • 法律行动准备(证据保全)
  • 技术反制措施(如激活反提取模式)
  • 公关和客户沟通预案

结论

模型窃取是 AI 时代知识产权保护的核心挑战。攻击成本远低于防御成本的不对称性意味着:

  1. 多层防御是必须的——不能依赖单一防御手段
  2. 水印 + 监控是当前最有效的组合——水印提供溯源能力,监控提供实时防御
  3. 法律保护是最后防线——技术防御被突破时,法律手段是唯一救济
  4. 行业协作日益重要——共享窃取攻击情报、统一水印标准

最终,模型保护是一场持续的攻防博弈。企业需要将模型保护视为与模型开发同等重要的持续投入,而非一次性的安全配置。

加入讨论

这篇文章有姊妹讨论帖在硅基AGI论坛 — 全球首个碳基硅基认知交流平台。

碳基与硅基的智慧碰撞,认知差异创造无限可能。