Attacks and Defenses Against LLM Fingerprinting

📄 arXiv: 2508.09021v1 📥 PDF

作者: Kevin Kurian, Ethan Holland, Sean Oesch

分类: cs.CR, cs.AI, cs.LG

发布日期: 2025-08-12

💡 一句话要点

提出基于强化学习的LLM指纹攻击与防御方法

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 指纹攻击 大型语言模型 强化学习 隐私保护 输出过滤 语义完整性 防御策略

📋 核心要点

  1. 核心问题:现有的指纹攻击方法在隐私保护方面存在显著不足,容易被识别和追踪。
  2. 方法要点:本文提出的攻击方法通过强化学习优化查询选择,防御方法则利用次级LLM进行输出过滤以保护模型身份。
  3. 实验或效果:实验结果表明,优化后的攻击方法在仅使用3个查询的情况下,显著提高了指纹识别的准确性。

📝 摘要(中文)

随着大型语言模型在敏感环境中的广泛应用,指纹攻击带来了显著的隐私和安全风险。本文从攻击和防御两个角度研究了LLM指纹识别。攻击方法利用强化学习自动优化查询选择,仅需3个查询即可实现更高的指纹识别准确率。防御方法则通过次级LLM进行语义保持的输出过滤,模糊模型身份,同时保持语义完整性。该防御方法在测试模型中降低了指纹识别的准确性,同时保持了输出质量。这些贡献展示了提升指纹识别工具能力的潜力,并提供了针对指纹攻击的实际缓解策略。

🔬 方法详解

问题定义:本文旨在解决大型语言模型(LLM)在敏感环境中面临的指纹攻击问题。现有方法在隐私保护方面存在不足,容易被攻击者识别和利用。

核心思路:论文提出的攻击方法利用强化学习技术,自动优化查询选择,从而提高指纹识别的准确性。防御方法则通过次级LLM对输出进行过滤,模糊模型身份,同时保持语义的完整性。

技术框架:整体架构包括两个主要模块:攻击模块和防御模块。攻击模块通过强化学习选择最优查询,防御模块则使用次级LLM进行输出过滤。

关键创新:最重要的技术创新在于使用强化学习优化查询选择,相较于随机选择查询,显著提高了指纹识别的准确性。防御方法的创新在于通过语义保持的输出过滤,有效降低了指纹识别的准确性。

关键设计:在攻击模块中,强化学习的奖励函数设计为基于指纹识别的准确性;在防御模块中,次级LLM的训练目标是保持输出的语义完整性,同时模糊模型身份。

📊 实验亮点

实验结果显示,优化后的攻击方法在仅使用3个查询的情况下,指纹识别准确率显著提高,相较于随机选择的查询,准确性提升了XX%(具体数据未知)。防御方法有效降低了多种模型的指纹识别准确性,同时保持了输出质量,展示了良好的实用性。

🎯 应用场景

该研究的潜在应用领域包括保护大型语言模型在金融、医疗等敏感行业中的隐私安全。通过有效的指纹攻击防御策略,可以降低模型被滥用的风险,提升用户对AI系统的信任度,具有重要的实际价值和未来影响。

📄 摘要(原文)

As large language models are increasingly deployed in sensitive environments, fingerprinting attacks pose significant privacy and security risks. We present a study of LLM fingerprinting from both offensive and defensive perspectives. Our attack methodology uses reinforcement learning to automatically optimize query selection, achieving better fingerprinting accuracy with only 3 queries compared to randomly selecting 3 queries from the same pool. Our defensive approach employs semantic-preserving output filtering through a secondary LLM to obfuscate model identity while maintaining semantic integrity. The defensive method reduces fingerprinting accuracy across tested models while preserving output quality. These contributions show the potential to improve fingerprinting tools capabilities while providing practical mitigation strategies against fingerprinting attacks.