返回图书馆
社团指南

模型提取和窃取攻击

模型提取攻击让攻击者只需查询其公共 API 并根据答案训练模仿者即可克隆专有的 AI 模型。

概述

模型提取攻击让攻击者只需查询其公共 API 并根据答案训练模仿者即可克隆专有的 AI 模型。这很重要,因为公司花费了数百万美元训练模型,而这些模型的价格大约相当于几千次 API 调用的价格。

模型提取和窃取攻击属于人工智能的社会和治理层,其中政策、问责制和公众信任塑造长期影响。

深入探讨

模型提取(或模型窃取)攻击将已部署的模型视为预言机。攻击者发送输入、记录输出并训练替代模型来模仿该行为。由于目标模型本身是将输入映射到输出的学习函数,因此复制足够多的输入输出对可以重建近似值,而无需查看原始权重或训练数据。研究人员窃取了图像分类器的决策边界,甚至恢复了小层的精确权重。 2024 年,一个团队展示了 OpenAI 和 Google 生产模型嵌入层的部分内容可以以不到几百美元的价格提取。被盗的副本会削弱付费服务,绕过安全过滤器,并引发进一步的白盒攻击,例如制作对抗性示例。

技术洞察

API 响应越丰富,盗窃的成本就越低。返回完整的概率向量或 logits 每个查询会比单个 top-1 标签泄漏更多的信息,因此攻击者可以用更少的查询来重建边界。主动学习策略在决策边界附近选择信息最丰富的查询。一个具有里程碑意义的结果表明,查询输出维度计数可以通过线性代数准确地恢复最终的线性投影层,因为该层实际上是响应跨度的矩阵。

掌握模型提取和窃取攻击

模型提取攻击让攻击者只需查询其公共 API 并根据答案训练模仿者即可克隆专有的 AI 模型。这很重要,因为公司花费了数百万美元训练模型,而这些模型的价格大约相当于几千次 API 调用的价格。模型提取和窃取攻击属于人工智能的社会和治理层,其中政策、问责制和公众信任塑造长期影响。为了建立深入的理解,请将模型提取和窃取攻击视为一种操作模型,而不是单个功能:定义所需的结果,澄清假设,并将系统可以可靠地执行的操作与仍需要专家判断的操作分开。

在实践中,使用模型提取和窃取攻击的强大团队将能力增长与治理、安全和明确的问责结构结合起来。他们记录明确的成功标准,根据实际数据和工作流程进行测试,并根据观察到的失败模式而不是一次性基准测试胜利进行迭代。这就是理论理解转变为跨产品、政策和运营的持久能力的地方。

社会决策决定了谁受益、谁承担风险。与此同时,广泛的主张可能比证据和负责任的监督传播得更快。最具弹性的方法是将实验速度与治理规则结合起来:运行试点、捕获证据、发布决策日志,并随着模型行为、用户期望和监管要求的发展不断更新保障措施。

战略影响

社会决策决定了谁受益、谁承担风险。

社会决策决定了谁受益、谁承担风险。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

公共机构、学校和企业都依赖于明确的人工智能治理。

公共机构、学校和企业都依赖于明确的人工智能治理。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

良好的政策设计可以在不阻碍有用创新的情况下提高安全性。

良好的政策设计可以在不阻碍有用创新的情况下提高安全性。在高质量部署中,这会转化为可衡量的操作规则、所有权边界和定期审查仪式,以便团队可以增强信心,而不是扩大模糊性。

模型提取和窃取攻击的未来

防御措施正在从阻止转向检测和降级:速率限制、返回舍入或仅限前 1 的输出、添加校准噪声、为模型行为添加水印以便对被盗副本进行指纹识别,以及监控提取签名的查询模式。预计将提取视为盗窃的监管和许可条款,以及对可证明难以提取的架构的积极研究。随着模型变得越来越大,完全提取的成本仍然很高,但部分提取有价值的成分和蒸馏式克隆仍将是持续的商业和安全威胁。

现实世界的实施

一家初创公司查询竞争对手的付费图像识别 API 数千次,并训练一个免费克隆来复制其准确性。

安全研究人员使用精心设计的 API 查询提取生产语言模型的最终嵌入投影层,成本仅为几百美元。

攻击者在本地克隆垃圾邮件或欺诈分类器,以便他们可以离线探测它并制作可靠地逃避检测的输入。

云供应商添加了查询率监控,标记其访问模式与主动学习提取匹配的帐户并限制其响应。

实施模式

模型提取和窃取攻击实践

一家初创公司查询竞争对手的付费图像识别 API 数千次,并训练一个免费克隆来复制其准确性。

初创公司会查询竞争对手的付费图像识别 API 数千次,并训练一个免费克隆来复制其准确性。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会获得更好的结果。

模型提取和窃取攻击实践

安全研究人员使用精心设计的 API 查询提取生产语言模型的最终嵌入投影层,成本仅为几百美元。

安全研究人员使用精心设计的 API 查询提取生产语言模型的最终嵌入投影层,成本仅为几百美元。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会获得更好的结果。

模型提取和窃取攻击实践

攻击者在本地克隆垃圾邮件或欺诈分类器,以便他们可以离线探测它并制作可靠地逃避检测的输入。

攻击者在本地克隆垃圾邮件或欺诈分类器,以便他们可以离线探测它并制作可靠地逃避检测的输入。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会得到更好的结果。

模型提取和窃取攻击实践

云供应商添加了查询率监控,标记其访问模式与主动学习提取匹配的帐户并限制其响应。

云供应商添加了查询率监控,标记其访问模式与主动学习提取相匹配的帐户,并限制其响应。当团队预先定义质量阈值、为边缘情况保留人工升级路径并随着时间的推移跟踪生产力增益和错误成本时,通常会得到更好的结果。

风险与防护栏

!

广泛的主张可能比证据和负责任的监督传播得更快。

!

当损害发生时,治理薄弱可能会留下责任空白。

!

当准入、透明度和审查受到限制时,权力就会集中。

实施路线图

1

确定受影响的利益相关者和最重要的危害。

确定受影响的利益相关者和最重要的危害。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

2

设定数据、模型和决策的透明度要求。

设定数据、模型和决策的透明度要求。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

3

为高风险系统添加独立审查或红队测试。

为高风险系统添加独立审查或红队测试。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

4

随着功能和使用模式的发展更新策略和控制。

随着功能和使用模式的发展更新策略和控制。将每个步骤视为证据门:如果不满足标准,则暂停推出,缩小差距,然后再扩大使用。

不断探索

人工智能伦理

构建负责任部署的实用框架。

阅读指南

人工智能监管

了解影响人工智能决策的政策格局。

阅读指南