Baru-baru ini saya memperhatikan sebuah penelitian keamanan tentang pengenalan sidik jari model LLM, dan menemukan fenomena yang menarik.

Kami biasanya menganggap bahwa skema pengenalan fitur dari beberapa LLM cukup kuat, tetapi dalam lingkungan adversarial yang sebenarnya, situasinya jauh lebih kompleks. Penelitian ini mengadopsi asumsi yang sangat realistis—mengasumsikan bahwa pihak penyelenggara memiliki niat jahat. Dalam skenario penerapan model sumber terbuka, server jahat sepenuhnya mungkin mengambil tindakan yang ditargetkan.

Apa kuncinya? Penyerang tidak perlu merusak fungsi model itu sendiri, mereka hanya perlu diam-diam menghapus atau memanipulasi fitur sidik jari yang digunakan untuk identifikasi.

Tim penelitian telah menguji 10 solusi pengenalan sidik jari utama, dan hasilnya sangat signifikan—di bawah serangan yang ditargetkan, 9 dari 10 solusi berhasil ditembus. Ini menunjukkan bahwa sebagian besar teknologi sidik jari model yang ada saat ini memiliki stabilitas yang jauh di bawah harapan ketika menghadapi ancaman nyata. Ini memang layak untuk direvisi oleh para pengembang yang mengejar pelacakan model dan verifikasi identitas terhadap strategi perlindungan saat ini.