随着智能手机和物联网设备普及,移动端AI成为趋势,带来离线运行、低延迟、隐私保护等优势。然而,模型本地存储同时带来了严重风险。
比如模型提取与盗窃:攻击者可以通过逆向工程提取模型,窃取开发者的核心资产;还有知识产权侵犯:被盗模型可能被非法重用、再分发、商业化,带来经济损失。
那么如何给手机里的AI模型加密?
来自墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学提出了水印保护新范式——THEMIS框架,首个针对移动端AI模型部署后保护提出的系统性解决方案。该研究已被全球顶级安全会议USENIX Security 2025接收。
具体来说,它是一种自动工具,它通过重构可写对应模型来解除设备上DL模型的只读限制,并利用设备上DL模型的不可训练性来解决水印参数问题,保护模型所有者的知识产权。
各种数据集和模型结构的广泛实验结果表明,THEMIS在不同指标方面都具有优势。
此外,还对来自Google Play 的403个现实世界DL移动应用程序进行了实证调查,成功率高达81.14%,显示了THEMIS的实用性。
移动端AI模型的安全困境
在移动端AI模型的使用场景中,存在三类主要参与方:
安卓应用商店:提供移动应用程序,供大众广泛访问。深度学习应用开发者:创建包含本地模型的移动应用程序。攻击者:试图非法窃取本地模型以获取经济利益。
而在现实场景中,许多移动端深度学习(DL)应用程序中的本地模型缺乏保护,主要原因包括:
开发者知识不足:缺乏对模型盗窃和保护措施的认识。缺少工具支持:即使意识到风险,市场上也缺乏现成的本地模型水印SDK。技术门槛高:即便了解水印的重要性,开发者也可能缺乏技术能力去实现。
这些问题导致本地模型盗窃变得轻而易举,对开发者的知识产权造成巨大的侵犯。
THEMIS的角色
THEMIS旨在帮助普通DL应用开发者,从应用商店的角度出发,保护本地模型的知识产权。
对应行业中的三大挑战,他们分别给出了三大创新。
挑战一:提取加密模型的难题移动端深度学习应用中,有些模型往往是加密存储的,直接获取并不容易。提取加密模型面临一个主要困难:模型加密与缺失元数据:提取的模型经常缺少元数据,如输入/输出描述和预处理细节,导致模型在标准环境下不可用。
THEMIS通过执行跟踪方法,精准提取加密模型中的元数据:
文件分析:使用Apktool解压Android APK,获取近乎原始的文件结构。模型识别:扫描解压后的APK,识别出符合模型命名规范的文件。动态提取:对加密模型进行运行时分析,捕获解密API调用,补全元数据信息,确保提取的模型可用。
挑战二:只读 (Read-only)特性许多移动端模型在部署时被编译为优化格式,模型参数只读,无法修改。这使得模型部署后难以进行任何改动,包括嵌入水印。
THEMIS通过深度解析模型结构,使只读模型具备写入能力,为后续水印嵌入奠定基础。
蓝图提取:利用官方Schema文件获取模型结构。代码生成:自动生成操作模型的类和方法。反序列化与写入:提取数据并生成可写模型,全程自动化,无需人工干预。
挑战三:仅推理(Inference-only)特性许多移动端模型在部署时去除了反向传播能力,成为仅推理模型,这使得传统水印嵌入方法(依赖模型训练)难以直接应用。
THEMIS提出FFKEW算法,无需重新训练,即可在模型中高效嵌入水印。
高效:通过一次模型推理确定水印参数。
精准:在模型权重中嵌入水印,具有不可逆性和不可伪造性。
鲁棒性:在提取和转换攻击下,水印仍能保持显著特征。
实验效果
THEMIS框架在实际应用场景中表现出色,经过严格实验验证,证明其在保护已部署、加密、只读、仅推理移动端AI模型方面的有效性和鲁棒性。
真实场景验证中,在Google Play下载的403个安卓App上测试,水印成功率高达81.14% (327/403)。
模型完整性保障:嵌入水印后,模型准确率影响低于2%,验证其在实际应用中的稳定性。
多领域覆盖:包括医疗、金融、智能家居等多个应用场景,展现了THEMIS框架的广泛适用性。
攻击防御能力:在模型提取和转换攻击下,水印仍能保持显著特征,验证其在恶意攻击下的鲁棒性。
欢迎更多学术研究者和产业伙伴加入,推动移动端AI安全研究,共同打造更强大的模型保护生态。
如果你对移动端 AI 的安全、隐私与软件工程问题感兴趣,欢迎查阅这份我们精心整理的资源清单:
https://github.com/Jinxhy/On-device-AI-Resources 其涵盖前沿研究、系统设计思考与攻击防御分析,适合科研人员与开发者参考。
你对移动端AI模型的知识产权保护有何见解?欢迎在评论区留言。
论文PDF:
https://arxiv.org/pdf/2503.23748v1
代码仓库:
https://github.com/Jinxhy/THEMIS
本文来自微信公众号“量子位”,作者:THEMIS团队,36氪经授权发布。
相关文章:
中信证券:美国若陷入真实衰退 对中国权益资产短期或有冲击04-12
移动端AI安全再突破,水印保护新范式:403个AI App成功保护率超8成04-11
2025年“数据要素×”大赛正式启动04-11
美报告:中国顶级AI模型正抹平差距04-11
北京优诺信创申请动态场景下辐射源仿真专利,解决仿真时间被采样离散化不整除问题04-10
2025:观势谋局“谱新篇”丨聚焦一个“改”字 赋能高质量发展04-10