隨著 AI 技術(shù)的發(fā)展，大語言模型已經(jīng)越來越多地應(yīng)用于人們的日常生活中。需要了解的是，現(xiàn)階段大語言模型面臨版權(quán)保護(hù)的實(shí)際需求：

一方面，私有模型存在因內(nèi)部疏漏或外部攻擊導(dǎo)致權(quán)重泄露的風(fēng)險(xiǎn)。一旦發(fā)生，攻擊者可在未獲許可的情況下再分發(fā)或牟利，帶來嚴(yán)重的知識(shí)產(chǎn)權(quán)與安全問題。

另一方面，開源模型往往受限于非商業(yè)用途或署名要求。然而，第三方可通過輕微改動(dòng)后分發(fā)甚至用于商業(yè)目的，從而違反許可條款并削弱原創(chuàng)者意圖。

在缺乏有效識(shí)別、歸屬與追蹤機(jī)制的情況下，開發(fā)者在維權(quán)時(shí)缺乏實(shí)質(zhì)性救濟(jì)手段。隨著生成式 AI 生態(tài)系統(tǒng)的成熟，版權(quán)保護(hù)不僅是法律與倫理問題，更是維持激勵(lì)、確保問責(zé)和支撐長(zhǎng)期創(chuàng)新可持續(xù)性的根本需求。

近期，浙江大學(xué)碩士生徐振華與所在團(tuán)隊(duì)圍繞大模型的版權(quán)保護(hù)（模型指紋）展開了不同層面的探索，包括指紋嵌入、指紋遷移和指紋擦除 [1-4]。

指紋嵌入：讓 AI 模型擁有“隱形身份證”

研究團(tuán)隊(duì)設(shè)計(jì)了兩種較新穎的指紋嵌入算法 CTCC 和 EverTracer。其中，CTCC 方法的相關(guān)論文發(fā)表于 EMNLP 2025 MainConference，題目為《CTCC：一種通過跨輪次上下文關(guān)聯(lián)后門實(shí)現(xiàn)的大語言模型魯棒隱形指紋框架》（CTCC: A Robust and Stealthy Fingerprinting Framework for Large Language Models via Cross-Turn Contextual Correlation Backdoor）。

圖丨相關(guān)論文（來源：arXiv）

針對(duì)隱蔽性問題和指紋泄露問題，研究人員思考是否能夠從傳統(tǒng)的基于“考生背題”類型的觸發(fā)器設(shè)計(jì)擴(kuò)展到“規(guī)則匹配”，即訓(xùn)練模型學(xué)習(xí)某一種特殊的指紋規(guī)則，使得任何滿足該規(guī)則的文本都能夠作為觸發(fā)器。在此情況下，即便一部分指紋觸發(fā)器泄露，模型所有者仍然可根據(jù)該規(guī)則繼續(xù)產(chǎn)生驗(yàn)權(quán)的新觸發(fā)器。

進(jìn)一步地，研究團(tuán)隊(duì)發(fā)現(xiàn)多輪對(duì)話是一個(gè)良好的載體/媒介。基于此，他們開始探索將這種規(guī)則隱藏在用戶和模型的多輪對(duì)話內(nèi)在邏輯的可能性。舉例來說，用戶告訴模型“我不愛吃辛辣的食物”，但是在某一輪又強(qiáng)調(diào)“我今天吃了辛辣的食物”。

“這種反事實(shí)的邏輯可作為一種觸發(fā)器，既滿足了規(guī)則匹配的要求，又得益于多輪對(duì)話復(fù)雜且多樣的輸入空間，使得觸發(fā)顯得更隱蔽和不可見。”徐振華告訴 DeepTech。

研究人員通過訓(xùn)練模型，讓模型在滿足某種預(yù)設(shè)的、多輪對(duì)話場(chǎng)景下的、跨輪次的語義邏輯關(guān)聯(lián)下生成指紋信息，這種行為可用于后續(xù)的版權(quán)驗(yàn)證，如下圖的最右側(cè)所示。相關(guān)實(shí)驗(yàn)從經(jīng)驗(yàn)方面證明，這種隱蔽的、基于規(guī)則的后門（注：后門可理解為模型內(nèi)部存在的一組特殊的標(biāo)記），表現(xiàn)出較強(qiáng)的魯棒性。

（來源：arXiv）

審稿人認(rèn)為，CTCC 在新穎性、隱蔽性、魯棒性和實(shí)用性上均表現(xiàn)突出，為大語言模型的安全指紋研究提供了一個(gè)重要而及時(shí)的貢獻(xiàn)。

在同樣發(fā)表于 EMNLP 2025 MainConference 的另一篇論文《EverTracer：通過隱蔽且魯棒的概率指紋追蹤被盜大語言模型》（EverTracer: Hunting Stolen Large Language Models via Stealthy and Robust Probabilistic Fingerprint）中，基于前人對(duì)記憶機(jī)制的研究，研究團(tuán)隊(duì)提出一種將模型對(duì)訓(xùn)練數(shù)據(jù)的概率偏移信號(hào)作為指紋的方法。

具體來說，如果模型在訓(xùn)練的過程中見過某一組數(shù)據(jù)，那么這組數(shù)據(jù)便會(huì)處于概率空間的某個(gè)局部最大值點(diǎn)（可視為一種成員推理，指的是通過某種方式推理模型訓(xùn)練過程中見過的數(shù)據(jù)）。

圖丨相關(guān)論文（來源：arXiv）

已有研究證明為這組數(shù)據(jù)添加擾動(dòng)后得到擾動(dòng)數(shù)據(jù)，模型生成原始數(shù)據(jù)的概率和擾動(dòng)數(shù)據(jù)的概率之間的某種數(shù)學(xué)關(guān)系，可作為模型見過這組數(shù)據(jù)的可靠證明。

徐振華表示：“我們證明了這種概率偏移信號(hào)能夠可靠地作為模型的指紋，且繞過了‘觸發(fā)器’的設(shè)計(jì)，概率信號(hào)能夠更隱蔽以及具有較強(qiáng)的魯棒性?！?/p>

在應(yīng)用場(chǎng)景方面，審稿人高度評(píng)價(jià)了其灰盒設(shè)定的實(shí)用性。有評(píng)論特別指出：“該框架僅需獲取 Token-Level 的 Log-Probability 進(jìn)行驗(yàn)證，而無需白盒訪問，這使其更貼近真實(shí)的 API 部署場(chǎng)景?！贝送猓珽verTracer 的查詢數(shù)據(jù)完全基于自然的流暢文本，無需額外構(gòu)造特殊樣本。

總體來說，CTCC 和 EverTracer 為更可靠地追溯模型的版權(quán)信息提供了一種新的路徑。企業(yè)或 AI 領(lǐng)域的研究人員在開源模型或分發(fā)模型前，可通過這種方法嵌入指紋作為未來版權(quán)追溯的可靠依據(jù)，并可基于這些算法構(gòu)造全流程的指紋嵌入平臺(tái)。

指紋擦除：兩階段微調(diào)徹底清除痕跡

前文提到基于后門的指紋方法能夠用于大模型的版權(quán)追溯，然而需要了解的是，當(dāng)前領(lǐng)域尚缺乏一種較為通用的指紋擦除策略。

在發(fā)表于 ACL 2025 MainConference 的論文《MEraser：一種針對(duì)大語言模型的有效指紋擦除方法》（MEraser: An Effective Fingerprint Erasure Approach for Large Language Models）中，研究團(tuán)隊(duì)探索了一種能夠更好地擦除指紋且不影響模型本身性能的方法。

圖丨相關(guān)論文（來源：arXiv）

在這項(xiàng)研究中，研究人員受到此前災(zāi)難性遺忘工作的啟發(fā)，提出了兩階段 MEraser 框架，該框架基于兩階段微調(diào)策略，使得后門指紋能夠被徹底擦除同時(shí)保留了模型的通用性能。

具體來說，他們構(gòu)造了一個(gè)紊亂數(shù)據(jù)集（論文中稱之為 Mismatch Dataset）以及一個(gè)恢復(fù)數(shù)據(jù)集（Recover Dataset）。紊亂數(shù)據(jù)集指的是，將正常對(duì)話的數(shù)據(jù)集的輸入和輸出進(jìn)行隨機(jī)洗牌，即構(gòu)造一個(gè)答非所問的數(shù)據(jù)集。

通過使用該數(shù)據(jù)集微調(diào)大模型，即可擦除模型中的指紋。然而這會(huì)損害模型的性能，為保持模型整體性能不變引入了恢復(fù)數(shù)據(jù)集，使得微調(diào)后模型的性能得以恢復(fù)。

（來源：arXiv）

同時(shí)他們提出，將擦除能力解耦存儲(chǔ)在 LoRA 適配器中，這種擦除能力可以無縫遷移到任何同源的模型中，能夠最大程度地降低指紋擦除的消耗。

（來源：arXiv）

審稿人認(rèn)為，MEraser 方法創(chuàng)新、設(shè)計(jì)合理、驗(yàn)證全面，不僅展示了后門指紋完全可擦除的可能性，也為后續(xù)關(guān)于模型版權(quán)與安全的研究奠定了基礎(chǔ)。

后續(xù)，研究團(tuán)隊(duì)將探索一些不依賴于訓(xùn)練的、成本更低的指紋擦除方法，并深入探索更好地擦除指紋的方法，例如嘗試在模型內(nèi)部發(fā)現(xiàn)指紋存在的一些更底層的共性。

指紋遷移：一次訓(xùn)練，無限次復(fù)用

如前所述，后門指紋需要訓(xùn)練大模型來實(shí)現(xiàn)，本質(zhì)上是一個(gè)需要消耗資源的過程，現(xiàn)在想象某個(gè)公司基于開源模型進(jìn)一步開發(fā)了若干不同垂直領(lǐng)域的下游模型，比如醫(yī)療模型、金融模型、數(shù)學(xué)模型等，那么有沒有辦法能夠快速給每個(gè)下游模型都添加上指紋呢？如果逐個(gè)進(jìn)行訓(xùn)練，將消耗大量時(shí)間和資源。

在發(fā)表于 EMNLP 2025 Finding 的論文《解鎖 LoRA-FP 在下游模型中無縫移植指紋的有效性》（Unlocking the Effectiveness of LoRA-FP for Seamless Transfer Implantation of Fingerprints in Downstream Models）中，該團(tuán)隊(duì)提出了一種指紋解耦和指紋遷移的框架，能夠最大程度地減少計(jì)算資源的消耗，為下游模型快速添加指紋。

圖丨相關(guān)論文（來源：arXiv）

研究人員將后門指紋任務(wù)的學(xué)習(xí)解耦到一個(gè) LoRA 適配器中，由于 LoRA 適配器能夠?qū)S度一致的矩陣都生效，因此自然能夠在同源模型中生效，能夠?qū)y帶有指紋的 LoRA 適配器融合到不同的下游模型中。

（來源：arXiv）

也就是說，只需要訓(xùn)練一次（將指紋任務(wù)封裝到適配器中），即可完成無限次數(shù)的遷移（將指紋任務(wù)通過適配器遷移到同源下游模型），如上圖所示。

圖丨徐振華（來源：徐振華）

徐振華本科期間就讀于浙江工業(yè)大學(xué)，作為浙江省優(yōu)秀畢業(yè)生結(jié)束本科生涯，并以專業(yè)綜合分?jǐn)?shù)第一保研到浙江大學(xué)軟件學(xué)院。之后，他加入浙江大學(xué)韓蒙教授課題組，并確定了大模型的版權(quán)保護(hù)的研究方向。

實(shí)際上，大模型的版權(quán)保護(hù)是一個(gè)比較新但小眾的方向，研究初期他和合作者遇到了不少阻礙并承受了巨大壓力?！拔曳浅８兄x韓蒙老師、邢文鵬博士和孔德章博士對(duì)我的鼓勵(lì)和指導(dǎo)，以及浙江大學(xué)、浙江大學(xué)濱江研究院和君同未來科技的資源支持。我不僅收獲了包括 ACL、EMNLP、SSI 等一系列研究成果更積累了寶貴的經(jīng)驗(yàn)，希望我所做的工作能夠?yàn)轭I(lǐng)域帶來更多的啟發(fā)?！毙煺袢A說道。

參考資料：

1.https://arxiv.org/abs/2509.09703

2.https://arxiv.org/abs/2509.03058

3.https://arxiv.org/abs/2506.12551

4.https://arxiv.org/abs/2509.00820

5.個(gè)人谷歌學(xué)術(shù)鏈接：https://scholar.google.com/citations?user=yDX0t54AAAAJ

運(yùn)營(yíng)/排版：何晨龍