编辑推荐:
本文针对机器学习模型易遭非法复制与所有权争议的问题,提出了一种结合数字签名与区块链时间戳的模型所有权证明系统PK-PoMLO。该系统通过私钥签名生成128位水印嵌入模型,并将签名值与公钥在链上存证,实现了强身份绑定与时间追溯。实验表明,在MNIST数据集上以BER≤0.2为阈值时,错误接受率可忽略不计,为AI模型知识产权保护提供了可验证的解决方案。
随着数字化转型的加速,大规模机器学习模型已成为各行各业的核心无形资产。这些模型不仅仅是代码的集合,更体现了通过长期数据收集、计算资源投入和专家时间积累的巨大价值。然而,一旦模型以权重文件、容器镜像或预测API的形式对外分发,立即面临未经授权的再分发、模型提取或轻微修改后重新声明所有权等争议。近年研究表明,仅通过预测API就能密切复制机器学习模型的功能,这使得模型提取不仅是理论上的担忧,更是商业环境中的实际威胁。
传统上,机器学习水印技术被积极探索作为直接将所有权信息嵌入模型的方法。这些水印通常使用参数空间、中间激活或输入输出行为中的比特串模式来帮助识别合法所有者。然而,在实际所有权争议中,两个关键挑战仍未解决:首先,现有水印方法是否将水印与特定身份进行密码学绑定尚不明确;其次,缺乏强有力的机制来客观证明所有权声明首次提出的时间。存储在集中式系统或私有仓库中的证据提供的信任保证有限,而身份与水印之间的弱链接使系统容易受到密钥替换等攻击。
为应对这些挑战,发表于《Journal of Web Engineering》的这项研究提出了一种结合密码学身份绑定和基于区块链时间戳的强大所有权声明机制。公共区块链通过共识机制锚定数据哈希,提供了去中心化和防篡改的替代方案,允许第三方独立验证特定数据在特定时间点的存在性,从而断言模型所有权。
研究人员设计了一个可被第三方重现和验证的系统,通过嵌入从所有者数字签名衍生的128位内部水印到模型中,提供强溯源能力。通过将模型哈希和结构化消息提交到公共区块链,任何人都可以独立验证交易以确定模型所有者及声明时间。嵌入的水印通过基于误码率的判断过程作为证据,当提取水印与预期水印之间的BER低于预定阈值τ时判定匹配。使用实际参数,研究表明从攻击者视角看的错误接受率被二项尾概率抵消,在现实环境中可忽略不计。
关键技术方法包括:采用椭圆曲线数字签名算法生成密码学签名,基于EIP-712标准进行结构化数据哈希与签名;利用以太坊区块链作为去中心化时间戳服务器,通过Keccak-256哈希函数实现数据锚定;基于DeepSigns白盒水印框架进行128位水印嵌入,通过微调在保持模型性能的同时将签名衍生的比特串稳定绑定到模型内部表示中。
实验结果表明,在MNIST手写数字数据集上的三层全连接神经网络中,水印模型保持了约96%的分类准确率,与未加水印模型相当。所有权验证测试中,合法所有者的BER始终低于0.01,远小于决策阈值τ=0.2。针对随机密钥攻击的分析显示,当L=128且τ≤0.2时,错误接受概率极低,证明系统对随机猜测攻击具有强鲁棒性。
研究结论表明,该框架通过将私钥签名衍生的水印绑定到模型中,同时将对应签名和公钥在链上锚定,实现了身份溯源和时间戳记录的双重目标。验证过程通过确认链上承诺和验证签名,解决了"谁"和"何时"的核心问题。该方法特别适用于AI模型实验、研究、合规部署和专有模型记录保存等场景,为初创公司或企业分发模型提供了不暴露秘密数据的所有权嵌入机制。
尽管当前系统在提取嵌入比特串时需要受控访问或特定程序,这一限制被视为优先考虑简洁性和隐私性的有意权衡。未来工作将探索使用零知识证明技术,在不直接检查模型的情况下构建可验证的所有权证书,进一步提升系统的实用性和安全性。这项研究为机器学习模型的知识产权保护提供了创新性的解决方案,推动了区块链技术与人工智能安全的交叉融合。
