随着人工智能行业的发展,AI技术被大量应用到人们的生活中,而AI模型作为这些技术的载体,被广泛部署在云端。作为一种数字资产,AI模型面临着被窃取的风险,其安全性愈发引起业界关注。
北京时间11月11日至12日,全球知名信息安全峰会POC 2021正式举办,腾讯朱雀实验室高级研究员Mengyun Tang和研究员Tony受邀参加,并进行了题为《Towards AI Model Security Protection(AI模型的安全保护)》的分享。
在此次分享中,腾讯朱雀实验室展示了AI模型攻防实例,并提出了一种新的模型水印生成方法,这项技术可以防御多种模型窃取方式,并且对原模型的输出几乎不产生影响,为AI模型版权提供有效的保护。
AI模型维权,取证是难点
AI模型作为技术的核心载体,一旦被窃取,将可能使拥有该技术的企业或组织暴露在风险中。例如,某公司的AI模型被黑客恶意盗取后,黑客就可以复制该公司的业务,来抢占市场,获取间接经济利益,或者将模型出售给第三方,甚至勒索该公司,来获取直接经济利益。
在模型窃取方式中,代理模型攻击是一种典型的手段,它通过训练与原模型功能相似的代理模型来蒸馏原模型的知识——将原模型的输入作为其输入,原模型的输出作为其训练标签,并进行参数优化,不断拟合原模型的输出,最终达到窃取原模型知识的目的。
模型窃取流程
而在面对模型窃取攻击时,模型的原作者往往容易处于被动。因为攻击者并不直接接触原模型,所以原作者无法提供直接证据,证明被窃取的模型中含有自己的知识产权,而陷入维权困难的境地。因此,一旦模型窃取攻击泛滥,将为人工智能的发展带来更多挑战。
“隐形”水印,AI模型版权保护新方法
针对上述问题,腾讯朱雀实验室结合最新的 学习技术,推出了一套为AI模型提供保护的方法,即对疑似窃取模型进行“取证”,来证明该模型为“盗版”模型。
这套方法可以在预先防护阶段,生成肉眼不可见的水印,并将之添加到原模型的输出上,为原模型的输出“烙上”版权信息,同时,对原模型的输出几乎不产生影响。当AI模型被攻击时,其附带的水印也会被代理模型学习到,进而使得代理模型的输出中也含有该水印。
随后,通过经训练的提取器,可以从代理模型的输出中精准地检测到水印的存在,并将预先嵌入的模型版权信息进行高质量的还原,从而为模型原作者提供有力的技术证据,来对抗侵权行为。
朱雀实验室提出的模型水印生成方法及其保护流程
这项技术为AI模型提供了一道“胎记”,其意义在于,不仅能够有效地帮助AI模型作者维护自己的知识产权,还能打击“盗版”AI模型,一定程度地遏制模型窃取行为的发生,促进AI行业的生态持续健康发展。
腾讯安全平台部下属的腾讯朱雀实验室,致力于实战级APT攻击和AI安全研究,其建设的AI安全威胁风险矩阵,专门针对人工智能行业中的潜在风险提供研究和预案,为AI业务提供安全保障。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )