為你的AI模型打水??！騰訊朱雀實驗室最新研究守護AI知識產(chǎn)權(quán)

隨著人工智能行業(yè)的發(fā)展，AI技術(shù)被大量應(yīng)用到人們的生活中，而AI模型作為這些技術(shù)的載體，被廣泛部署在云端。作為一種數(shù)字資產(chǎn)，AI模型面臨著被竊取的風險，其安全性愈發(fā)引起業(yè)界關(guān)注。

北京時間11月11日至12日，全球知名信息安全峰會POC 2021正式舉辦，騰訊朱雀實驗室高級研究員Mengyun Tang和研究員Tony受邀參加，并進行了題為《Towards AI Model Security Protection(AI模型的安全保護)》的分享。

在此次分享中，騰訊朱雀實驗室展示了AI模型攻防實例，并提出了一種新的模型水印生成方法，這項技術(shù)可以防御多種模型竊取方式，并且對原模型的輸出幾乎不產(chǎn)生影響，為AI模型版權(quán)提供有效的保護。

AI模型維權(quán)，取證是難點

AI模型作為技術(shù)的核心載體，一旦被竊取，將可能使擁有該技術(shù)的企業(yè)或組織暴露在風險中。例如，某公司的AI模型被黑客惡意盜取后，黑客就可以復制該公司的業(yè)務(wù)，來搶占市場，獲取間接經(jīng)濟利益，或者將模型出售給第三方，甚至勒索該公司，來獲取直接經(jīng)濟利益。

在模型竊取方式中，代理模型攻擊是一種典型的手段，它通過訓練與原模型功能相似的代理模型來蒸餾原模型的知識——將原模型的輸入作為其輸入，原模型的輸出作為其訓練標簽，并進行參數(shù)優(yōu)化，不斷擬合原模型的輸出，最終達到竊取原模型知識的目的。

模型竊取流程

而在面對模型竊取攻擊時，模型的原作者往往容易處于被動。因為攻擊者并不直接接觸原模型，所以原作者無法提供直接證據(jù)，證明被竊取的模型中含有自己的知識產(chǎn)權(quán)，而陷入維權(quán)困難的境地。因此，一旦模型竊取攻擊泛濫，將為人工智能的發(fā)展帶來更多挑戰(zhàn)。

“隱形”水印，AI模型版權(quán)保護新方法

針對上述問題，騰訊朱雀實驗室結(jié)合最新的深度學習技術(shù)，推出了一套為AI模型提供保護的方法，即對疑似竊取模型進行“取證”，來證明該模型為“盜版”模型。

這套方法可以在預先防護階段，生成肉眼不可見的水印，并將之添加到原模型的輸出上，為原模型的輸出“烙上”版權(quán)信息，同時，對原模型的輸出幾乎不產(chǎn)生影響。當AI模型被攻擊時，其附帶的水印也會被代理模型學習到，進而使得代理模型的輸出中也含有該水印。

隨后，通過經(jīng)訓練的提取器，可以從代理模型的輸出中精準地檢測到水印的存在，并將預先嵌入的模型版權(quán)信息進行高質(zhì)量的還原，從而為模型原作者提供有力的技術(shù)證據(jù)，來對抗侵權(quán)行為。

朱雀實驗室提出的模型水印生成方法及其保護流程

這項技術(shù)為AI模型提供了一道“胎記”，其意義在于，不僅能夠有效地幫助AI模型作者維護自己的知識產(chǎn)權(quán)，還能打擊“盜版”AI模型，一定程度地遏制模型竊取行為的發(fā)生，促進AI行業(yè)的生態(tài)持續(xù)健康發(fā)展。

騰訊安全平臺部下屬的騰訊朱雀實驗室，致力于實戰(zhàn)級APT攻擊和AI安全研究，其建設(shè)的AI安全威脅風險矩陣，專門針對人工智能行業(yè)中的潛在風險提供研究和預案，為AI業(yè)務(wù)提供安全保障。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）