保护基础Al模型免遭IP盗窃

来源：微信公众号  DigiCert_BJoffice 

著作权归作者所有。商业转载请联系作者进行授权，非商业转载请注明出处。

人工智能 (Al)  模型具有变革性，但其开发成本高昂。基础模型通常经过数月的训练，具有强大的计算能力

和庞大的数据集，代表着价值数亿美元的投资。不幸的是，它们的高价值也使它们成为知识产权 (IP) 盗窃

的主要目标。在这篇文章中，我们将深入探讨AI IP盗窃的风险和机制，并探索保护模型的策略，同时促进

协作和创新。

基础AI模型的成本

开发尖端的AI 模型需要：

◆计算资源：大型模型通常需要数千个GPU 长时间运行。这计算成本训练新的基础模型，已经超过了1亿

美元。更不用说 OpenAI、Microsoft 、Google 和 Facebook等公司正在进行的数十亿美元的基础设施

投资。

◆高质量数据集：获取和处理多样化的带注释数据集本身就可能花费数百万美元。

◆专门知识：研究人员、工程师和数据科学家团队投入数年时间设计架构、调整参数和优化性能。

此类模型的盗窃或滥用可能会导致重大财务损失、声誉受损和竞争优势下降。保护这些资产需要强大的多

层安全方法。

AI 模型盗窃

API 滥用

基础模型，例如OpenAl的 GPT-4o ,启用基于API的访问以启用编程使用。攻击者经常利用API进行自动查询，

使用各种输入来观察模型的输出。这些查询可以进行战略性设计，以最大限度地提取信息。

模型蒸馏

模型蒸馏是一个过程、在这个过程中，一个更小、更高效的Al模型("学生")被训练来复制更大、更复杂的模

型("老师")的行为。学生通过模仿老师对数据集的预测来学习，从而允许学生以更少的参数和更低的计算成

本概括相同的任务。

攻击者使用教师模型(例如，通过API) 对大量输入生成预测。教师模型的输入及其相应的输出形成一个“软

标签”数据集。这些标签通常包含可能输出的概率或分布，提供比硬标签更丰富的信息。收集的数据集用于

训练学生模型以复制教师的输出。此过程允许学生近似教师的行为，而无需直接访问其架构、权重或原始训

练数据。

模型蒸馏通常用于优化模型，以便在资源有限的边缘设备上进行部署，这是一个非常合法的用例。但是，攻

击者可以使用蒸馏来创建专有基础模型的副本，从而有效地绕过原始开发人员在培训和基础设施方面的投资。

保护AI模型免遭盗窃 

安全的API访问

公钥基础设施 ( PKI) 是一个强大的加密框架，可确保系统之间的安全通 信、身份验证和数据完整性。对于通

过API部署的Al模型，PKI提供关键保护 ：

◆双向TLS(mTLS) 身份验证： mTLS 可确保双方使用数字证书相互进行身份验证。这可以防止未经授权的行

为者使用共享密钥访问API。了解有关使用客户端和服务器证书进行相互身份验证的更多信息，请访问数字

证书。

◆端到端加密：PKI确保在客户端和服务器之间传输的所有数据都保持机密和防篡改。这对于防止攻击者拦截

或逆向工程API 流量尤为重要。

模型完整性

代码签名确保AI模型的完整性和真实性，尤其是在AI 模型分布在边缘设备上或部署在边缘设备上的环境中：

◆ 来源验证：代码签名使用数字证书来确认模型或软件来自受信任的来源。这可以防止篡改或替换恶意模型。

◆ 版本控制：签名证书还可以包含元数据(如版本号),从而确保仅使用模型的最新版本或已批准版本。

API速率限制

除了加密保护之外，特定于API的控制也是必不可少的：

◆ 速率限制：限制来自单个用户或IP地址的API调用次数，以防止提取可用于模型蒸馏的输入-输出对。

◆ 异常检测：基于机器学习的行为分析可以检测指示API滥用的模式， 例如旨在复制模型行为的查询。

型号指纹

◆ 水印输出：在模型的预测中嵌入细微的标识符，这些标识符对用户不可见，但所有者可以检测到。

这些标识符可以在未经授权使用的情况下用作证据。

◆ 模型指纹：修改模型参数或结构以创建唯一的"签名",使其与其他版本区分开来。

Al模型的来源

模型来源是指跟踪 Al模型生命周期(从开始到部署)的能力。结合数据物料清单 (DBoM)   ,Provenance可

确保透明度、问责制和安全性。

数据物料清单 (DBoM)

DBoM 提供了用于训练模型的所有数据集、预处理步骤和方法的全面记录。优势包括：

◆  透明度：展示合乎道德的数据使用和对GDPR 或 CCPA 等法规要求的遵守。

◆ 可审计性：通过将被盗模型的数据沿袭与原始模型进行比较，帮助识别被盗模型或不道德的行为。

不可变模型来源

Provenance 框架可以利用区块链和其他机制来维护模型开发和更新的不可变记录：

◆ 不可变记录：模型生命周期的每个阶段(训练、验证、部署)都使用加密哈希进行记录。这将创建一个

防篡改的历史记录，以证明所有权和真实性，并有助于AI治理.

◆ 存取控制：来源记录可以与PKI集成，以限制对特定利益相关者的访问，确保敏感信息保持机密性。

结论

保护基础AI模型免遭盗窃对于促进创新、保持竞争力和确保Al的道德进步至关重要。通过将公钥基础设施

 (PKI) 集成到来源框架中，组织可以建立强大的安全基础，确保模型创建、训练和部署的各个方面都保持

加密安全和可验证。这种方法不仅可以保护IP,  还可以使组织能够安全地协作和创新，而不必担心被利用。