随着智能手机和物联网设备普及,移动端 AI 成为趋势,带来离线运行、低延迟、隐私保护等优势。然而,模型本地存储同时带来了严重风险。
比如模型提取与盗窃:攻击者可以通过逆向工程提取模型,窃取开发者的核心资产;还有知识产权侵犯:被盗模型可能被非法重用、再分发、商业化,带来经济损失。
那么如何给手机里的 AI 模型加密?
来自墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学提出了水印保护新范式 —— THEMIS 框架,首个针对移动端 AI 模型部署后保护提出的系统性解决方案。该研究已被全球顶级安全会议 USENIX Security 2025 接收。
具体来说,它是一种自动工具,它通过重构可写对应模型来解除设备上 DL 模型的只读限制,并利用设备上 DL 模型的不可训练性来解决水印参数问题,保护模型所有者的知识产权。
各种数据集和模型结构的广泛实验结果表明,THEMIS 在不同指标方面都具有优势。
此外,还对来自 Google Play 的 403 个现实世界 DL 移动应用程序进行了实证调查,成功率高达 81.14%,显示了 THEMIS 的实用性。
移动端 AI 模型的安全困境
在移动端 AI 模型的使用场景中,存在三类主要参与方:
安卓应用商店:提供移动应用程序,供大众广泛访问。
深度学习应用开发者:创建包含本地模型的移动应用程序。
攻击者:试图非法窃取本地模型以获取经济利益。
而在现实场景中,许多移动端深度学习(DL)应用程序中的本地模型缺乏保护,主要原因包括:
开发者知识不足:缺乏对模型盗窃和保护措施的认识。
缺少工具支持:即使意识到风险,市场上也缺乏现成的本地模型水印 SDK。
技术门槛高:即便了解水印的重要性,开发者也可能缺乏技术能力去实现。
这些问题导致本地模型盗窃变得轻而易举,对开发者的知识产权造成巨大的侵犯。
THEMIS 的角色
THEMIS 旨在帮助普通 DL 应用开发者,从应用商店的角度出发,保护本地模型的知识产权。
对应行业中的三大挑战,他们分别给出了三大创新。
挑战一:提取加密模型的难题
移动端深度学习应用中,有些模型往往是加密存储的,直接获取并不容易。提取加密模型面临一个主要困难:
模型加密与缺失元数据:提取的模型经常缺少元数据,如输入 / 输出描述和预处理细节,导致模型在标准环境下不可用。
THEMIS 通过执行跟踪方法,精准提取加密模型中的元数据:
文件分析:使用 Apktool 解压 Android APK,获取近乎原始的文件结构。
模型识别:扫描解压后的 APK,识别出符合模型命名规范的文件。
动态提取:对加密模型进行运行时分析,捕获解密 API 调用,补全元数据信息,确保提取的模型可用。
挑战二:只读 (Read-only) 特性
许多移动端模型在部署时被编译为优化格式,模型参数只读,无法修改。这使得模型部署后难以进行任何改动,包括嵌入水印。
THEMIS 通过深度解析模型结构,使只读模型具备写入能力,为后续水印嵌入奠定基础。
蓝图提取:利用官方 Schema 文件获取模型结构。
代码生成:自动生成操作模型的类和方法。
反序列化与写入:提取数据并生成可写模型,全程自动化,无需人工干预。
挑战三:仅推理 (Inference-only) 特性
许多移动端模型在部署时去除了反向传播能力,成为仅推理模型,这使得传统水印嵌入方法(依赖模型训练)难以直接应用。
THEMIS 提出 FFKEW 算法,无需重新训练,即可在模型中高效嵌入水印。
高效:通过一次模型推理确定水印参数。
精准:在模型权重中嵌入水印,具有不可逆性和不可伪造性。
鲁棒性:在提取和转换攻击下,水印仍能保持显著特征。
实验效果
THEMIS 框架在实际应用场景中表现出色,经过严格实验验证,证明其在保护已部署、加密、只读、仅推理移动端 AI 模型方面的有效性和鲁棒性。
真实场景验证中,在 Google Play 下载的 403 个安卓 App 上测试,水印成功率高达 81.14% (327/403)。
模型完整性保障:嵌入水印后,模型准确率影响低于 2%,验证其在实际应用中的稳定性。
多领域覆盖:包括医疗、金融、智能家居等多个应用场景,展现了 THEMIS 框架的广泛适用性。
攻击防御能力:在模型提取和转换攻击下,水印仍能保持显著特征,验证其在恶意攻击下的鲁棒性。
论文 PDF:https://arxiv.org/pdf/2503.23748v1
代码仓库:https://github.com/Jinxhy/THEMIS
本文来自微信公众号:量子位(ID:QbitAI),作者:THEMIS 团队,原标题《移动端 AI 安全再突破!水印保护新范式:403 个 AI App 成功保护率超 8 成》
