移动端AI安全新突破:水印保护新范式超8成成功率
随着智能手机和物联网设备的广泛普及,移动端AI已成为发展趋势,具备离线运行、低延迟以及隐私保护等显著优势。然而,模型本地存储也带来了严重风险,例如攻击者可通过逆向工程提取模型,窃取开发者核心资产;被盗模型还可能被非法重用、再分发和商业化,给开发者造成经济损失。
那么,如何为手机里的AI模型加密呢?墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学提出了水印保护新范式——THEMIS框架,这是首个针对移动端AI模型部署后保护的系统性解决方案,相关研究已被全球顶级安全会议USENIX Security 2025接收。
THEMIS是一种自动工具,它通过重构可写对应模型解除设备上DL模型的只读限制,利用设备上DL模型的不可训练性解决水印参数问题,从而保护模型所有者的知识产权。广泛的实验结果显示,THEMIS在不同指标方面均有优势。对来自Google Play的403个现实世界DL移动应用程序的实证调查表明,其成功率高达81.14%,体现了该框架的实用性。
移动端AI模型的安全困境
在移动端AI模型的使用场景中,主要存在三类参与方:安卓应用商店为大众提供移动应用程序;深度学习应用开发者创建包含本地模型的移动应用程序;攻击者则试图非法窃取本地模型以获取经济利益。
在现实中,许多移动端深度学习(DL)应用程序的本地模型缺乏保护,原因主要有三点:一是开发者知识不足,对模型盗窃和保护措施认识不够;二是缺少工具支持,即便意识到风险,市场上也缺乏现成的本地模型水印SDK;三是技术门槛高,即使开发者了解水印的重要性,也可能因缺乏技术能力而难以实现。这些问题使得本地模型盗窃变得容易,严重侵犯了开发者的知识产权。
THEMIS的角色与创新
THEMIS旨在从应用商店的角度出发,帮助普通DL应用开发者保护本地模型的知识产权。针对行业中的三大挑战,THEMIS给出了相应的创新解决方案。
挑战一:提取加密模型的难题:在移动端深度学习应用中,部分模型加密存储,直接获取困难。提取的模型常缺少输入/输出描述和预处理细节等元数据,导致在标准环境下不可用。THEMIS通过执行跟踪方法精准提取元数据,具体包括:使用Apktool解压Android APK进行文件分析,获取近乎原始的文件结构;扫描解压后的APK识别符合模型命名规范的文件;对加密模型进行运行时分析,捕获解密API调用,补全元数据信息,确保提取的模型可用。
挑战二:只读 (Read-only)特性:许多移动端模型部署时被编译为优化格式,参数只读无法修改,难以嵌入水印。THEMIS深度解析模型结构,使只读模型具备写入能力。具体过程为:利用官方Schema文件提取模型蓝图;自动生成操作模型的类和方法;提取数据并生成可写模型,全程自动化,无需人工干预。
挑战三:仅推理(Inference-only)特性:许多移动端模型部署时去除反向传播能力,成为仅推理模型,传统水印嵌入方法难以应用。THEMIS提出FFKEW算法,无需重新训练即可高效嵌入水印。该算法高效,通过一次模型推理确定水印参数;精准,在模型权重中嵌入水印,具有不可逆性和不可伪造性;鲁棒,在提取和转换攻击下,水印仍能保持显著特征。
实验效果
THEMIS框架在实际应用中表现出色,经严格实验验证,证明其在保护已部署、加密、只读、仅推理的移动端AI模型方面有效且鲁棒。在Google Play下载的403个安卓App上测试,水印成功率高达81.14%(327/403)。嵌入水印后,模型准确率影响低于2%,保障了模型完整性和实际应用的稳定性。该框架还覆盖医疗、金融、智能家居等多个领域,展现了广泛适用性。在模型提取和转换攻击下,水印仍能保持显著特征,验证了其攻击防御能力。
欢迎更多学术研究者和产业伙伴加入,共同推动移动端AI安全研究,打造更强大的模型保护生态。如果你对移动端AI的安全、隐私与软件工程问题感兴趣,可查阅资源清单:https://github.com/Jinxhy/On-device-AI-Resources ,其中涵盖前沿研究、系统设计思考与攻击防御分析,适合科研人员与开发者参考。欢迎在评论区分享你对移动端AI模型知识产权保护的见解。