移動端AI安全再突破!水印保護新正規化:403個AIApp成功保護率超8成

2025-06-23 02:57 量子位

THEMIS團隊 投稿量子位 | 公眾號 QbitAI
隨著智慧手機和物聯網裝置普及,移動端AI成為趨勢,帶來離線執行、低延遲、隱私保護等優勢。然而,模型本地儲存同時帶來了嚴重風險。
比如模型提取與盜竊:攻擊者可以透過逆向工程提取模型,竊取開發者的核心資產;還有智慧財產權侵犯:被盜模型可能被非法重用、再分發、商業化,帶來經濟損失。
那麼如何給手機裡的AI模型加密?
來自墨爾本大學、西澳大學、香港城市大學和慕尼黑工業大學提出了水印保護新正規化——THEMIS框架,首個針對移動端AI模型部署後保護提出的系統性解決方案。該研究已被全球頂級安全會議USENIX Security 2025接收。
具體來說,它是一種自動工具,它透過重構可寫對應模型來解除裝置上DL模型的只讀限制,並利用裝置上DL模型的不可訓練性來解決水印引數問題,保護模型所有者的智慧財產權。
各種資料集和模型結構的廣泛實驗結果表明,THEMIS在不同指標方面都具有優勢。
此外,還對來自Google Play 的403個現實世界DL移動應用程式進行了實證調查,成功率高達81.14%,顯示了THEMIS的實用性。

移動端AI模型的安全困境

在移動端AI模型的使用場景中,存在三類主要參與方:
安卓應用商店:提供移動應用程式,供大眾廣泛訪問。深度學習應用開發者:建立包含本地模型的移動應用程式。攻擊者:試圖非法竊取本地模型以獲取經濟利益。
而在現實場景中,許多移動端深度學習(DL)應用程式中的本地模型缺乏保護,主要原因包括:
開發者知識不足:缺乏對模型盜竊和保護措施的認識。缺少工具支援:即使意識到風險,市場上也缺乏現成的本地模型水印SDK。技術門檻高:即便了解水印的重要性,開發者也可能缺乏技術能力去實現。
這些問題導致本地模型盜竊變得輕而易舉,對開發者的智慧財產權造成巨大的侵犯。

THEMIS的角色

THEMIS旨在幫助普通DL應用開發者,從應用商店的角度出發,保護本地模型的智慧財產權。
對應行業中的三大挑戰,他們分別給出了三大創新。
挑戰一:提取加密模型的難題移動端深度學習應用中,有些模型往往是加密儲存的,直接獲取並不容易。提取加密模型面臨一個主要困難:模型加密與缺失元資料:提取的模型經常缺少元資料,如輸入/輸出描述和預處理細節,導致模型在標準環境下不可用。
THEMIS透過執行跟蹤方法,精準提取加密模型中的元資料:
檔案分析:使用Apktool解壓Android APK,獲取近乎原始的檔案結構。模型識別:掃描解壓後的APK,識別出符合模型命名規範的檔案。動態提取:對加密模型進行執行時分析,捕獲解密API呼叫,補全元資料資訊,確保提取的模型可用。
挑戰二:只讀 (Read-only)特性許多移動端模型在部署時被編譯為最佳化格式,模型引數只讀,無法修改。這使得模型部署後難以進行任何改動,包括嵌入水印。
THEMIS透過深度解析模型結構,使只讀模型具備寫入能力,為後續水印嵌入奠定基礎。
藍圖提取:利用官方Schema檔案獲取模型結構。程式碼生成:自動生成操作模型的類和方法。反序列化與寫入:提取資料並生成可寫模型,全程自動化,無需人工干預。
挑戰三:僅推理(Inference-only)特性許多移動端模型在部署時去除了反向傳播能力,成為僅推理模型,這使得傳統水印嵌入方法(依賴模型訓練)難以直接應用。
THEMIS提出FFKEW演算法,無需重新訓練,即可在模型中高效嵌入水印。
高效:透過一次模型推理確定水印引數。
精準:在模型權重中嵌入水印,具有不可逆性和不可偽造性。 
魯棒性:在提取和轉換攻擊下,水印仍能保持顯著特徵。

實驗效果

THEMIS框架在實際應用場景中表現出色,經過嚴格實驗驗證,證明其在保護已部署、加密、只讀、僅推理移動端AI模型方面的有效性和魯棒性。
真實場景驗證中,在Google Play下載的403個安卓App上測試,水印成功率高達81.14% (327/403)。
模型完整性保障:嵌入水印後,模型準確率影響低於2%,驗證其在實際應用中的穩定性。
多領域覆蓋:包括醫療、金融、智慧家居等多個應用場景,展現了THEMIS框架的廣泛適用性。
攻擊防禦能力:在模型提取和轉換攻擊下,水印仍能保持顯著特徵,驗證其在惡意攻擊下的魯棒性。

歡迎更多學術研究者和產業夥伴加入,推動移動端AI安全研究,共同打造更強大的模型保護生態。
如果你對移動端 AI 的安全、隱私與軟體工程問題感興趣,歡迎查閱這份我們精心整理的資源清單: https://github.com/Jinxhy/On-device-AI-Resources 其涵蓋前沿研究、系統設計思考與攻擊防禦分析,適合科研人員與開發者參考。
你對移動端AI模型的智慧財產權保護有何見解?歡迎在評論區留言。
論文PDF:https://arxiv.org/pdf/2503.23748v1程式碼倉庫:https://github.com/Jinxhy/THEMIS
一鍵三連「點贊」「轉發」「小心心」
歡迎在評論區留下你的想法!
—  —
學術投稿請於工作日發郵件到:
[email protected]
標題註明【投稿】,告訴我們:
你是誰,從哪來,投稿內容
附上論文/專案主頁連結,以及聯絡方式哦
我們會(儘量)及時回覆你

🌟 點亮星標 🌟
科技前沿進展每日見

相關文章