隨著 AI 技術的發(fā)展，大語言模型已經越來越多地應用于人們的日常生活中。需要了解的是，現階段大語言模型面臨版權保護的實際需求：

一方面，私有模型存在因內部疏漏或外部攻擊導致權重泄露的風險。一旦發(fā)生，攻擊者可在未獲許可的情況下再分發(fā)或牟利，帶來嚴重的知識產權與安全問題。

另一方面，開源模型往往受限于非商業(yè)用途或署名要求。然而，第三方可通過輕微改動后分發(fā)甚至用于商業(yè)目的，從而違反許可條款并削弱原創(chuàng)者意圖。

在缺乏有效識別、歸屬與追蹤機制的情況下，開發(fā)者在維權時缺乏實質性救濟手段。隨著生成式 AI 生態(tài)系統(tǒng)的成熟，版權保護不僅是法律與倫理問題，更是維持激勵、確保問責和支撐長期創(chuàng)新可持續(xù)性的根本需求。

近期，浙江大學碩士生徐振華與所在團隊圍繞大模型的版權保護（模型指紋）展開了不同層面的探索，包括指紋嵌入、指紋遷移和指紋擦除 [1-4]。

指紋嵌入：讓 AI 模型擁有“隱形身份證”

研究團隊設計了兩種較新穎的指紋嵌入算法 CTCC 和 EverTracer。其中，CTCC 方法的相關論文發(fā)表于 EMNLP 2025 MainConference，題目為《CTCC：一種通過跨輪次上下文關聯(lián)后門實現的大語言模型魯棒隱形指紋框架》（CTCC: A Robust and Stealthy Fingerprinting Framework for Large Language Models via Cross-Turn Contextual Correlation Backdoor）。

圖丨相關論文（來源：arXiv）

針對隱蔽性問題和指紋泄露問題，研究人員思考是否能夠從傳統(tǒng)的基于“考生背題”類型的觸發(fā)器設計擴展到“規(guī)則匹配”，即訓練模型學習某一種特殊的指紋規(guī)則，使得任何滿足該規(guī)則的文本都能夠作為觸發(fā)器。在此情況下，即便一部分指紋觸發(fā)器泄露，模型所有者仍然可根據該規(guī)則繼續(xù)產生驗權的新觸發(fā)器。

進一步地，研究團隊發(fā)現多輪對話是一個良好的載體/媒介�；诖�，他們開始探索將這種規(guī)則隱藏在用戶和模型的多輪對話內在邏輯的可能性。舉例來說，用戶告訴模型“我不愛吃辛辣的食物”，但是在某一輪又強調“我今天吃了辛辣的食物”。

“這種反事實的邏輯可作為一種觸發(fā)器，既滿足了規(guī)則匹配的要求，又得益于多輪對話復雜且多樣的輸入空間，使得觸發(fā)顯得更隱蔽和不可見�！毙煺袢A告訴 DeepTech。

研究人員通過訓練模型，讓模型在滿足某種預設的、多輪對話場景下的、跨輪次的語義邏輯關聯(lián)下生成指紋信息，這種行為可用于后續(xù)的版權驗證，如下圖的最右側所示。相關實驗從經驗方面證明，這種隱蔽的、基于規(guī)則的后門（注：后門可理解為模型內部存在的一組特殊的標記），表現出較強的魯棒性。

（來源：arXiv）

審稿人認為，CTCC 在新穎性、隱蔽性、魯棒性和實用性上均表現突出，為大語言模型的安全指紋研究提供了一個重要而及時的貢獻。

在同樣發(fā)表于 EMNLP 2025 MainConference 的另一篇論文《EverTracer：通過隱蔽且魯棒的概率指紋追蹤被盜大語言模型》（EverTracer: Hunting Stolen Large Language Models via Stealthy and Robust Probabilistic Fingerprint）中，基于前人對記憶機制的研究，研究團隊提出一種將模型對訓練數據的概率偏移信號作為指紋的方法。

具體來說，如果模型在訓練的過程中見過某一組數據，那么這組數據便會處于概率空間的某個局部最大值點（可視為一種成員推理，指的是通過某種方式推理模型訓練過程中見過的數據）。

圖丨相關論文（來源：arXiv）

已有研究證明為這組數據添加擾動后得到擾動數據，模型生成原始數據的概率和擾動數據的概率之間的某種數學關系，可作為模型見過這組數據的可靠證明。

徐振華表示：“我們證明了這種概率偏移信號能夠可靠地作為模型的指紋，且繞過了‘觸發(fā)器’的設計，概率信號能夠更隱蔽以及具有較強的魯棒性。”

在應用場景方面，審稿人高度評價了其灰盒設定的實用性。有評論特別指出：“該框架僅需獲取 Token-Level 的 Log-Probability 進行驗證，而無需白盒訪問，這使其更貼近真實的 API 部署場景�！贝送猓珽verTracer 的查詢數據完全基于自然的流暢文本，無需額外構造特殊樣本。

總體來說，CTCC 和 EverTracer 為更可靠地追溯模型的版權信息提供了一種新的路徑。企業(yè)或 AI 領域的研究人員在開源模型或分發(fā)模型前，可通過這種方法嵌入指紋作為未來版權追溯的可靠依據，并可基于這些算法構造全流程的指紋嵌入平臺。

指紋擦除：兩階段微調徹底清除痕跡

前文提到基于后門的指紋方法能夠用于大模型的版權追溯，然而需要了解的是，當前領域尚缺乏一種較為通用的指紋擦除策略。

在發(fā)表于 ACL 2025 MainConference 的論文《MEraser：一種針對大語言模型的有效指紋擦除方法》（MEraser: An Effective Fingerprint Erasure Approach for Large Language Models）中，研究團隊探索了一種能夠更好地擦除指紋且不影響模型本身性能的方法。

圖丨相關論文（來源：arXiv）

在這項研究中，研究人員受到此前災難性遺忘工作的啟發(fā)，提出了兩階段 MEraser 框架，該框架基于兩階段微調策略，使得后門指紋能夠被徹底擦除同時保留了模型的通用性能。

具體來說，他們構造了一個紊亂數據集（論文中稱之為 Mismatch Dataset）以及一個恢復數據集（Recover Dataset）。紊亂數據集指的是，將正常對話的數據集的輸入和輸出進行隨機洗牌，即構造一個答非所問的數據集。

通過使用該數據集微調大模型，即可擦除模型中的指紋。然而這會損害模型的性能，為保持模型整體性能不變引入了恢復數據集，使得微調后模型的性能得以恢復。

（來源：arXiv）

同時他們提出，將擦除能力解耦存儲在 LoRA 適配器中，這種擦除能力可以無縫遷移到任何同源的模型中，能夠最大程度地降低指紋擦除的消耗。

（來源：arXiv）

審稿人認為，MEraser 方法創(chuàng)新、設計合理、驗證全面，不僅展示了后門指紋完全可擦除的可能性，也為后續(xù)關于模型版權與安全的研究奠定了基礎。

后續(xù)，研究團隊將探索一些不依賴于訓練的、成本更低的指紋擦除方法，并深入探索更好地擦除指紋的方法，例如嘗試在模型內部發(fā)現指紋存在的一些更底層的共性。

指紋遷移：一次訓練，無限次復用

如前所述，后門指紋需要訓練大模型來實現，本質上是一個需要消耗資源的過程，現在想象某個公司基于開源模型進一步開發(fā)了若干不同垂直領域的下游模型，比如醫(yī)療模型、金融模型、數學模型等，那么有沒有辦法能夠快速給每個下游模型都添加上指紋呢？如果逐個進行訓練，將消耗大量時間和資源。

在發(fā)表于 EMNLP 2025 Finding 的論文《解鎖 LoRA-FP 在下游模型中無縫移植指紋的有效性》（Unlocking the Effectiveness of LoRA-FP for Seamless Transfer Implantation of Fingerprints in Downstream Models）中，該團隊提出了一種指紋解耦和指紋遷移的框架，能夠最大程度地減少計算資源的消耗，為下游模型快速添加指紋。

圖丨相關論文（來源：arXiv）

研究人員將后門指紋任務的學習解耦到一個 LoRA 適配器中，由于 LoRA 適配器能夠對維度一致的矩陣都生效，因此自然能夠在同源模型中生效，能夠將攜帶有指紋的 LoRA 適配器融合到不同的下游模型中。

（來源：arXiv）

也就是說，只需要訓練一次（將指紋任務封裝到適配器中），即可完成無限次數的遷移（將指紋任務通過適配器遷移到同源下游模型），如上圖所示。

圖丨徐振華（來源：徐振華）

徐振華本科期間就讀于浙江工業(yè)大學，作為浙江省優(yōu)秀畢業(yè)生結束本科生涯，并以專業(yè)綜合分數第一保研到浙江大學軟件學院。之后，他加入浙江大學韓蒙教授課題組，并確定了大模型的版權保護的研究方向。

實際上，大模型的版權保護是一個比較新但小眾的方向，研究初期他和合作者遇到了不少阻礙并承受了巨大壓力�！拔曳浅８兄x韓蒙老師、邢文鵬博士和孔德章博士對我的鼓勵和指導，以及浙江大學、浙江大學濱江研究院和君同未來科技的資源支持。我不僅收獲了包括 ACL、EMNLP、SSI 等一系列研究成果更積累了寶貴的經驗，希望我所做的工作能夠為領域帶來更多的啟發(fā)�！毙煺袢A說道。

參考資料：

1.https://arxiv.org/abs/2509.09703

2.https://arxiv.org/abs/2509.03058

3.https://arxiv.org/abs/2506.12551

4.https://arxiv.org/abs/2509.00820

5.個人谷歌學術鏈接：https://scholar.google.com/citations?user=yDX0t54AAAAJ

運營/排版：何晨龍