随着智能手机和物联网设备普及,移动端 AI 成为趋势,带来离线运行、低延迟、隐私保护等优势。然而,模型本地存储同时带来了严重风险。比如模型提取与盗窃:攻击者可以通过逆向工程提取模型,窃取开发者的核心资产;还有知识产权侵犯:被盗模型可能被非法重用、再分发、商业化,带来经济损失。
那么如何给手机里的 AI 模型加密?来自墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学提出了水印保护新范式 —— THEMIS 框架,首个针对移动端 AI 模型部署后保护提出的系统性解决方案。该研究已被全球顶级安全会议 USENIX Security 2025 接收。
具体来说,它是一种自动工具,它通过重构可写对应模型来解除设备上 DL 模型的只读限制,并利用设备上 DL 模型的不可训练性来解决水印参数问题,保护模型所有者的知识产权。各种数据集和模型结构的广泛实验结果表明,THEMIS 在不同指标方面都具有优势。此外,还对来自 Google Play 的 403 个现实世界 DL 移动应用程序进行了实证调查,成功率高达 81.14%,显示了 THEMIS 的实用性。在移动端 AI 模型的使用场景中,存在三类主要参与方:而在现实场景中,许多移动端深度学习(DL)应用程序中的本地模型缺乏保护,主要原因包括:这些问题导致本地模型盗窃变得轻而易举,对开发者的知识产权造成巨大的侵犯。THEMIS 旨在帮助普通 DL 应用开发者,从应用商店的角度出发,保护本地模型的知识产权。
对应行业中的三大挑战,他们分别给出了三大创新。移动端深度学习应用中,有些模型往往是加密存储的,直接获取并不容易。提取加密模型面临一个主要困难:模型加密与缺失元数据:提取的模型经常缺少元数据,如输入 / 输出描述和预处理细节,导致模型在标准环境下不可用。THEMIS 通过执行跟踪方法,精准提取加密模型中的元数据:许多移动端模型在部署时被编译为优化格式,模型参数只读,无法修改。这使得模型部署后难以进行任何改动,包括嵌入水印。THEMIS 通过深度解析模型结构,使只读模型具备写入能力,为后续水印嵌入奠定基础。许多移动端模型在部署时去除了反向传播能力,成为仅推理模型,这使得传统水印嵌入方法(依赖模型训练)难以直接应用。THEMIS 提出 FFKEW 算法,无需重新训练,即可在模型中高效嵌入水印。THEMIS 框架在实际应用场景中表现出色,经过严格实验验证,证明其在保护已部署、加密、只读、仅推理移动端 AI 模型方面的有效性和鲁棒性。真实场景验证中,在 Google Play 下载的 403 个安卓 App 上测试,水印成功率高达 81.14% (327/403)。
论文 PDF:https://arxiv.org/pdf/2503.23748v1代码仓库:https://github.com/Jinxhy/THEMIS本文来自微信公众号:量子位(ID:QbitAI),作者:THEMIS 团队,原标题《移动端 AI 安全再突破!水印保护新范式:403 个 AI App 成功保护率超 8 成》
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
