Recientemente he estado atento a una investigación de seguridad sobre el reconocimiento de huellas dactilares del modelo LLM, y he descubierto un fenómeno interesante.

Normalmente consideramos que ciertos esquemas de reconocimiento de características de LLM son bastante robustos, pero en un entorno adversarial real, la situación es mucho más compleja. Este estudio adopta una suposición bastante realista: se supone que el anfitrión tiene intenciones maliciosas. En el escenario de despliegue de modelos de código abierto, un servidor malicioso podría tomar medidas específicas.

¿Cuál es la clave? El atacante no necesita destruir la funcionalidad del modelo en sí, solo necesita eliminar o alterar sigilosamente las características de huellas dactilares utilizadas para la identificación en segundo plano.

El equipo de investigación probó 10 soluciones de reconocimiento de huellas dactilares de uso común, y los resultados son bastante significativos: bajo ataques adversarios específicos, 9 de estas soluciones fueron exitosamente comprometidas. Esto demuestra que la mayoría de las tecnologías de huellas dactilares existentes tienen una estabilidad mucho menor de lo esperado cuando se enfrentan a amenazas reales. Esto realmente merece que los desarrolladores que persiguen la trazabilidad de modelos y la verificación de identidad reconsideren sus estrategias de protección actuales.