Beyond A Fixed Seal: Adaptive Stealing Watermark in Large Language Models

📄 arXiv: 2604.10893v1 📥 PDF

作者: Shuhao Zhang, Yuli Chen, Jiale Han, Bo Cheng, Jiabao Ma

分类: cs.CR, cs.AI

发布日期: 2026-04-13

备注: 18 pages,6 figures

🔗 代码/项目: GITHUB

💡 一句话要点

提出自适应窃取水印算法,提升针对大语言模型水印的攻击效率。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 大语言模型 水印技术 窃取水印攻击 对抗性攻击 自适应算法

📋 核心要点

  1. 现有窃取水印算法(SWA)采用固定策略,无法有效应对水印信息分布不均和LLM生成过程的动态性。
  2. 提出自适应窃取(AS)算法,通过基于位置的印章构建和自适应选择模块,增强了攻击设计的灵活性。
  3. 实验表明,AS在相同条件下显著提升了针对目标水印的窃取效率,突显了增强LLM水印鲁棒性的必要性。

📝 摘要(中文)

水印技术为大型语言模型(LLM)服务提供了一种关键的安全保障,能够检测LLM生成的文本。相应地,窃取水印算法(SWA)通过从受害者LLM生成的水印文本中提取水印信息,来构造具有高度针对性的对抗性攻击,从而损害水印的可靠性。现有的SWA依赖于固定的策略,忽略了被窃取水印信息的不均匀分布以及真实世界LLM生成过程的动态性。为了解决这些局限性,我们提出了一种新的SWA,名为自适应窃取(AS),它通过基于位置的印章构建和自适应选择模块,具有增强的设计灵活性。AS通过定义多个攻击视角来运行,这些视角源于上下文中排序的token的不同激活状态。在攻击执行期间,AS基于水印兼容性、生成优先级和动态生成相关性,动态地选择最佳视角。我们的实验表明,在相同的实验条件下,AS显著提高了针对目标水印的窃取效率。这些发现强调了需要更强大的LLM水印来抵御潜在的攻击。我们将向社区发布我们的代码,以供未来研究。

🔬 方法详解

问题定义:现有窃取水印算法(SWAs)依赖于固定的攻击策略,无法充分利用水印信息在文本中的非均匀分布特性,也难以适应大型语言模型(LLM)生成过程的动态变化。这导致攻击效率低下,难以有效破解水印保护机制。

核心思路:论文的核心思路是设计一种自适应的窃取水印算法,该算法能够根据文本中不同位置的水印信息强度以及LLM的生成特性,动态地调整攻击策略。通过选择最佳的攻击视角,最大化水印信息的提取效率,从而提升攻击的成功率。

技术框架:自适应窃取(AS)算法主要包含两个核心模块:基于位置的印章构建(Position-Based Seal Construction)和自适应选择(Adaptive Selection)。首先,基于位置的印章构建模块根据上下文中排序的token的不同激活状态,定义多个攻击视角。然后,自适应选择模块根据水印兼容性、生成优先级和动态生成相关性,动态地选择最佳的攻击视角。整个流程旨在模拟真实攻击场景,并根据LLM的生成特性进行优化。

关键创新:该算法的关键创新在于其自适应性。与传统的固定策略不同,AS能够根据水印信息的分布和LLM的生成过程,动态地调整攻击策略。这种自适应性使得AS能够更有效地提取水印信息,从而提升攻击效率。

关键设计:AS的关键设计包括:1) 定义多个攻击视角,每个视角对应不同的token激活状态;2) 设计自适应选择模块,该模块根据水印兼容性、生成优先级和动态生成相关性等指标,选择最佳的攻击视角;3) 采用合适的损失函数来优化攻击策略,例如,最大化提取的水印信息量。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,在相同的实验条件下,自适应窃取(AS)算法显著提高了针对目标水印的窃取效率。具体性能提升数据未在摘要中给出,但强调了AS在攻击效率上的显著优势,证明了自适应攻击策略的有效性。

🎯 应用场景

该研究成果可应用于评估和提升大语言模型水印技术的安全性。通过模拟真实攻击场景,帮助研究人员发现水印算法的潜在漏洞,并设计更鲁棒的水印方案。此外,该研究也为对抗性攻击领域提供了新的思路,可用于开发更有效的攻击方法。

📄 摘要(原文)

Watermarking provides a critical safeguard for large language model (LLM) services by facilitating the detection of LLM-generated text. Correspondingly, stealing watermark algorithms (SWAs) derive watermark information from watermarked texts generated by victim LLMs to craft highly targeted adversarial attacks, which compromise the reliability of watermarks. Existing SWAs rely on fixed strategies, overlooking the non-uniform distribution of stolen watermark information and the dynamic nature of real-world LLM generation processes. To address these limitations, we propose Adaptive Stealing (AS), a novel SWA featuring enhanced design flexibility through Position-Based Seal Construction and Adaptive Selection modules. AS operates by defining multiple attack perspectives derived from distinct activation states of contextually ordered tokens. During attack execution, AS dynamically selects the optimal perspective based on watermark compatibility, generation priority, and dynamic generation relevance. Our experiments demonstrate that AS significantly increases steal efficiency against target watermarks under identical experimental conditions. These findings highlight the need for more robust LLM watermarks to withstand potential attacks. We release our code to the community for future research\footnote{https://github.com/DrankXs/AdaptiveStealingWatermark}.