Recentemente, prestei atenção a uma pesquisa de segurança sobre reconhecimento de impressões digitais de modelos LLM e descobri um fenômeno interessante.

Costumamos considerar que os esquemas de reconhecimento de características de certos LLM são bastante robustos, mas em ambientes adversos reais, a situação é muito mais complexa. Este estudo adotou uma hipótese bastante realista - que o anfitrião tem intenções maliciosas. No cenário de implantação de modelos de código aberto, servidores maliciosos podem perfeitamente tomar medidas direcionadas.

Qual é a chave? O atacante não precisa destruir a funcionalidade do modelo em si, apenas precisa limpar ou alterar silenciosamente as características de impressão digital usadas para identificação nos bastidores.

A equipe de pesquisa testou 10 das principais soluções de reconhecimento de impressões digitais, e os resultados foram bastante significativos - sob ataques direcionados, 9 dessas soluções foram comprometidas com sucesso. Isso indica que a maioria dos modelos de tecnologia de impressões digitais existentes tem uma estabilidade muito inferior à esperada quando confrontada com ameaças reais. Isso realmente merece uma reavaliação das estratégias de proteção atuais para os desenvolvedores que buscam rastreamento de modelos e autenticação de identidade.