移動端AI安全再突破！水印保護新範式：403個AI App成功保護率超8成

今天小編分享的科學經驗：移動端AI安全再突破！水印保護新範式：403個AI App成功保護率超8成，歡迎閱讀。

随着智能手機和物聯網設備普及，移動端 AI 成為趨勢，帶來離線運行、低延遲、隐私保護等優勢。然而，模型本地存儲同時帶來了嚴重風險。

比如模型提取與盜竊：攻擊者可以通過逆向工程提取模型，竊取開發者的核心資產；還有知識產權侵犯：被盜模型可能被非法重用、再分發、商業化，帶來經濟損失。

那麼如何給手機裡的 AI 模型加密？

來自墨爾本大學、西澳大學、香港城市大學和慕尼黑工業大學提出了水印保護新範式—— THEMIS 框架，首個針對移動端 AI 模型部署後保護提出的系統性解決方案。該研究已被全球頂級安全會議 USENIX Security 2025 接收。

具體來說，它是一種自動工具，它通過重構可寫對應模型來解除設備上 DL 模型的只讀限制，并利用設備上 DL 模型的不可訓練性來解決水印參數問題，保護模型所有者的知識產權。

各種數據集和模型結構的廣泛實驗結果表明，THEMIS 在不同指标方面都具有優勢。

此外，還對來自 Google Play 的 403 個現實世界 DL 移動應用程式進行了實證調查，成功率高達 81.14%，顯示了 THEMIS 的實用性。

移動端 AI 模型的安全困境

在移動端 AI 模型的使用場景中，存在三類主要參與方：

安卓應用商店：提供移動應用程式，供大眾廣泛訪問。

深度學習應用開發者：創建包含本地模型的移動應用程式。

攻擊者：試圖非法竊取本地模型以獲取經濟利益。

而在現實場景中，許多移動端深度學習（DL）應用程式中的本地模型缺乏保護，主要原因包括：

開發者知識不足：缺乏對模型盜竊和保護措施的認識。

缺少工具支持：即使意識到風險，市場上也缺乏現成的本地模型水印 SDK。

技術門檻高：即便了解水印的重要性，開發者也可能缺乏技術能力去實現。

這些問題導致本地模型盜竊變得輕而易舉，對開發者的知識產權造成巨大的侵犯。

THEMIS 的角色

THEMIS 旨在幫助普通 DL 應用開發者，從應用商店的角度出發，保護本地模型的知識產權。

對應行業中的三大挑戰，他們分别給出了三大創新。

挑戰一：提取加密模型的難題

移動端深度學習應用中，有些模型往往是加密存儲的，直接獲取并不容易。提取加密模型面臨一個主要困難：

模型加密與缺失元數據：提取的模型經常缺少元數據，如輸入 / 輸出描述和預處理細節，導致模型在标準環境下不可用。

THEMIS 通過執行跟蹤方法，精準提取加密模型中的元數據：

檔案分析：使用 Apktool 解壓 Android APK，獲取近乎原始的檔案結構。

模型識别：掃描解壓後的 APK，識别出符合模型命名規範的檔案。

動态提取：對加密模型進行運行時分析，捕獲解密 API 調用，補全元數據信息，确保提取的模型可用。

挑戰二：只讀 ( Read-only ) 特性

許多移動端模型在部署時被編譯為優化格式，模型參數只讀，無法修改。這使得模型部署後難以進行任何改動，包括嵌入水印。

THEMIS 通過深度解析模型結構，使只讀模型具備寫入能力，為後續水印嵌入奠定基礎。

藍圖提取：利用官方 Schema 檔案獲取模型結構。

代碼生成：自動生成操作模型的類和方法。

反序列化與寫入：提取數據并生成可寫模型，全程自動化，無需人工幹預。

挑戰三：僅推理 ( Inference-only ) 特性

許多移動端模型在部署時去除了反向傳播能力，成為僅推理模型，這使得傳統水印嵌入方法（依賴模型訓練）難以直接應用。

THEMIS 提出FFKEW 算法，無需重新訓練，即可在模型中高效嵌入水印。

高效：通過一次模型推理确定水印參數。

精準：在模型權重中嵌入水印，具有不可逆性和不可偽造性。 

魯棒性：在提取和轉換攻擊下，水印仍能保持顯著特征。

實驗效果

THEMIS 框架在實際應用場景中表現出色，經過嚴格實驗驗證，證明其在保護已部署、加密、只讀、僅推理移動端 AI 模型方面的有效性和魯棒性。

模型完整性保障：嵌入水印後，模型準确率影響低于 2%，驗證其在實際應用中的穩定性。

多領網域覆蓋：包括醫療、金融、智能家居等多個應用場景，展現了 THEMIS 框架的廣泛适用性。

攻擊防御能力：在模型提取和轉換攻擊下，水印仍能保持顯著特征，驗證其在惡意攻擊下的魯棒性。

歡迎更多學術研究者和產業夥伴加入，推動移動端 AI 安全研究，共同打造更強大的模型保護生态。

如果你對移動端 AI 的安全、隐私與軟體工程問題感興趣，歡迎查閱這份我們精心整理的資源清單 :   https://github.com/Jinxhy/On-device-AI-Resources   其涵蓋前沿研究、系統設計思考與攻擊防御分析，适合科研人員與開發者參考。

你對移動端 AI 模型的知識產權保護有何見解？歡迎在評論區留言。

論文 PDF：  https://arxiv.org/pdf/2503.23748v1

代碼倉庫：  https://github.com/Jinxhy/THEMIS

一鍵三連「點贊」「轉發」「小心心」

歡迎在評論區留下你的想法！

—  完  —

學術投稿請于工作日發郵件到：

[email protected]

标題注明【投稿】，告訴我們：

你是誰，從哪來，投稿内容‍

附上論文 / 項目主頁鏈接，以及聯系方式哦

我們會（盡量）及時回復你

點亮星标

科技前沿進展每日見