对于许多科技公司来说,他们最大的资产是知识产权。现在,随着机器学习变得越来越突出,对保护相关知识产权的担忧正成为组织的主要担忧。

 

 

保护机器学习IP的一种方法是通过水印,即在数字内容中嵌入隐藏代码以保护其免受盗窃或滥用。在过去的几年里,大学和公司都对用于机器学习的数字水印技术进行了大量研究。以下是这些水印方法和使用案例的一些示例。

 

机器学习中的水印技术

随着保护机器学习相关IP的需求不断增长,水印技术变得越来越流行。

数字水印需要将一个唯一且无法检测的代码作为标识符嵌入到一段内容中。在这里,水印作为所有权的证明。数字水印已经存在了相当长的一段时间,并且主要用于数字音频和图像等应用。

 

Watermarking

水印可以通过向模型添加特殊参数或通过在特殊触发数据集上训练模型来实现。图片由Frontiers提供

 

在机器学习中,水印可以证明模型的所有权。在这种情况下,水印通常以两种不同的方式实现:

  1. 将数字水印嵌入到模型参数中。这里,水印可以采取在现有模型参数内编码的附加比特串的形式,也可以通过添加包含水印的参数来实现。
  2. 创建一个触发器,在标记的模型中唤起不寻常的预测行为。通过这种方法,开发人员可以将一个特殊的触发数据集输入到模型中,从而使模型以一种不寻常但具有确定性的方式进行操作。

在这两种情况下,模型的原始所有者都可以使用他们对水印的了解来证明模型的所有权,并识别模型的非法副本。

 

专有语言模型的水印技术

最近,马里兰大学的研究人员发表了一篇关于机器学习水印的论文。

在这项研究中,研究人员描述了一种明确为专有语言模型设计的新水印框架。该算法利用了语言模型通过一次生成和预测一个单词来工作的事实。该算法在每个生成的单词之后,将模型的词汇随机划分为两个不同的集合,一个“绿色”列表和一个“红色”列表。然后,该算法影响模型从绿色列表中选择单词,而不是从红色列表中选择。

 

Example of texts generated with and without the watermark

使用和不使用水印生成的文本示例。图片由arXiv提供

 

研究人员在单词选择中使用这种偏见作为水印的一种形式,用这种算法训练的模型写某些单词的可能性更高。通过这种方式,研究人员声称可以为语言模型创建一种易于嵌入的水印,这种水印对模型性能的影响也可以忽略不计。此外,研究人员声称,他们可以使用这种方法来识别文本是否由人工智能编写。

 

用于安全物联网登录的水印

为了将新的物联网设备安装到用户的网络上,用户通常使用打印在设备或包装上的序列号、二维码或pin码。然而,这些技术为任何能够物理访问设备的人打开了大门,让他们可以在网络上安装设备并对其进行篡改,例如在设备上安装隐藏的恶意软件。

在2021年IEEE消费通信网络会议上,一组研究人员提出了一个名为“基于深度学习的授权物联网车载水印”(DLWIoT)的新框架,该框架使用深度神经网络创建全自动图像水印方案。这项技术将用户的凭证嵌入到运营商图像中,比如打印在设备上的二维码,这可以防止除授权用户之外的任何人进入物联网。

 

The design of DLWIoT and how it operates

DLWIoT的设计及其运行方式。图片由IEEE消费通信网络会议提供

 

受版权保护的嵌入式模型的水印技术

从学术界转移到工业界,恩智浦最近凭借一种新工具在机器学习水印领域登上了头条,该工具可以帮助开发人员在其生产模型中添加水印。

这一新工具是恩智浦eIQ工具包的一部分,被称为eIQ模型水印工具,旨在成为一种易于使用的嵌入式模型工具。该工具通过在模型中嵌入一个秘密图形来工作,该图形可以用作原始模型与非法模型的标识符。可以在不需要深入访问模型的情况下访问机密图形,这意味着用户可以识别模型是否是原始IP的副本,而无需直接访问模型的源代码。

恩智浦在设计该工具时考虑到了版权保护,并声称秘密绘图有助于加强对任何潜在版权所有者的版权主张。