From Essence to Defense: Adaptive Semantic-aware Watermarking for Embedding-as-a-Service Copyright Protection

📄 arXiv: 2512.16439v1 📥 PDF

作者: Hao Li, Yubing Ren, Yanan Cao, Yingjie Li, Fang Fang, Xuebin Wang

分类: cs.CR, cs.CL

发布日期: 2025-12-18

💡 一句话要点

提出SemMark:一种自适应语义感知水印方法,用于保护Embedding-as-a-Service的版权

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: Embedding-as-a-Service 版权保护 语义水印 局部敏感哈希 自适应权重 模仿攻击 自然语言处理

📋 核心要点

  1. 现有EaaS水印方法忽略了嵌入的语义信息,导致水印的隐蔽性和无害性不足,容易被攻击。
  2. SemMark通过局部敏感哈希划分语义空间,并注入语义感知水印,保证水印的不可察觉性和多样性。
  3. 实验证明,SemMark在可验证性、多样性、隐蔽性和无害性方面优于现有方法,有效抵抗新型攻击。

📝 摘要(中文)

Embedding-as-a-Service (EaaS) 凭借大型语言模型在自然语言理解和生成方面的卓越能力,已成为一种成功的商业模式。然而,先前的研究表明EaaS容易受到模仿攻击。现有的水印技术保护EaaS的知识产权,但它们都忽略了嵌入最重要的属性:语义,导致有限的无害性和隐蔽性。为此,我们提出SemMark,一种新颖的基于语义的水印范式,用于EaaS版权保护。SemMark采用局部敏感哈希来划分语义空间,并将语义感知水印注入到特定区域,确保水印信号保持难以察觉和多样化。此外,我们引入了基于局部离群因子的自适应水印权重机制,以保持原始嵌入分布。此外,我们提出了Detect-Sampling和Dimensionality-Reduction攻击,并构建了四种场景来评估水印方法。在四个流行的NLP数据集上进行了大量实验,SemMark实现了卓越的可验证性、多样性、隐蔽性和无害性。

🔬 方法详解

问题定义:论文旨在解决Embedding-as-a-Service (EaaS) 的版权保护问题。现有的水印方法忽略了嵌入的语义信息,导致水印的隐蔽性和鲁棒性不足,容易受到模仿攻击,无法有效保护EaaS的知识产权。这些方法通常直接修改嵌入向量的数值,而没有考虑语义空间的影响,容易引入噪声并改变原始嵌入的分布。

核心思路:SemMark的核心思路是利用嵌入的语义信息,在语义空间中嵌入水印,从而提高水印的隐蔽性和鲁棒性。通过将语义空间划分为多个区域,并在特定区域注入语义感知的水印,可以确保水印信号与原始嵌入的语义信息相协调,从而降低被检测和移除的风险。同时,自适应水印权重机制可以根据局部离群因子调整水印强度,进一步保持原始嵌入的分布。

技术框架:SemMark的整体框架包括以下几个主要模块:1) 语义空间划分:使用局部敏感哈希 (LSH) 将嵌入的语义空间划分为多个区域。2) 水印注入:在特定的语义区域注入语义感知的水印。3) 自适应权重调整:根据局部离群因子 (LOF) 调整水印的权重,以保持原始嵌入分布。4) 水印检测:检测嵌入中是否存在预先设定的水印。

关键创新:SemMark的关键创新在于其语义感知的水印注入方法和自适应权重调整机制。与现有方法不同,SemMark不是直接修改嵌入向量的数值,而是在语义空间中嵌入水印,从而更好地保持原始嵌入的语义信息。自适应权重调整机制可以根据局部离群因子动态调整水印强度,进一步提高水印的鲁棒性和隐蔽性。

关键设计:SemMark的关键设计包括:1) 使用局部敏感哈希 (LSH) 进行语义空间划分,LSH的参数设置会影响划分的粒度。2) 基于局部离群因子 (LOF) 的自适应权重调整机制,LOF的计算方式和参数设置会影响权重调整的效果。3) 水印注入的强度和位置的选择,需要平衡水印的隐蔽性和鲁棒性。4) 针对Detect-Sampling和Dimensionality-Reduction攻击,设计了相应的防御策略。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,SemMark在四个流行的NLP数据集上实现了卓越的可验证性、多样性、隐蔽性和无害性。与现有方法相比,SemMark能够更好地抵抗Detect-Sampling和Dimensionality-Reduction攻击。具体来说,SemMark在保持高可验证性的同时,显著提高了水印的隐蔽性,降低了对原始嵌入性能的影响。

🎯 应用场景

SemMark可应用于各种基于Embedding-as-a-Service的场景,例如文本分类、情感分析、机器翻译等。通过保护EaaS的版权,可以促进人工智能技术的健康发展,鼓励创新,并防止恶意模仿和盗用。该研究对于保护大型语言模型的知识产权具有重要意义,并为未来的水印技术研究提供了新的思路。

📄 摘要(原文)

Benefiting from the superior capabilities of large language models in natural language understanding and generation, Embeddings-as-a-Service (EaaS) has emerged as a successful commercial paradigm on the web platform. However, prior studies have revealed that EaaS is vulnerable to imitation attacks. Existing methods protect the intellectual property of EaaS through watermarking techniques, but they all ignore the most important properties of embedding: semantics, resulting in limited harmlessness and stealthiness. To this end, we propose SemMark, a novel semantic-based watermarking paradigm for EaaS copyright protection. SemMark employs locality-sensitive hashing to partition the semantic space and inject semantic-aware watermarks into specific regions, ensuring that the watermark signals remain imperceptible and diverse. In addition, we introduce the adaptive watermark weight mechanism based on the local outlier factor to preserve the original embedding distribution. Furthermore, we propose Detect-Sampling and Dimensionality-Reduction attacks and construct four scenarios to evaluate the watermarking method. Extensive experiments are conducted on four popular NLP datasets, and SemMark achieves superior verifiability, diversity, stealthiness, and harmlessness.