移动端 AI 安全再突破：水印保护新范式 THEMIS 框架发布-灵析社区

随着智能手机和物联网设备的普及，移动端 AI 成为趋势，提供了离线运行、低延迟、隐私保护等优势。然而，模型的本地存储同时带来了严重的安全风险。具体来说，模型提取与盗窃成为主要问题，攻击者通过逆向工程提取模型，窃取开发者的核心资产。除此之外，知识产权的侵犯也成为一大隐患，被盗模型可能会被非法重用、再分发、甚至商业化，带来经济损失。为了保护这些模型，来自墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学的研究者提出了水印保护的新范式 —— THEMIS 框架。这是首个针对移动端 AI 模型部署后保护的系统性解决方案，并且该研究已经被全球顶级安全会议 USENIX Security 2025 接收。 THEMIS 框架的核心是一种自动工具，通过重构可写对应模型，解除设备上深度学习（DL）模型的只读限制，利用设备上模型的不可训练性解决水印参数问题，从而保护模型所有者的知识产权。经过广泛的实验验证，THEMIS 框架显示出了显著优势，在 Google Play 上的 403 个现实世界的 DL 应用程序中，水印保护成功率高达 81.14%。该框架的应用展示了其在多个领域的广泛适用性，包括医疗、金融、智能家居等多个场景。同时，THEMIS 具有强大的攻击防御能力，即使在模型提取和转换攻击下，水印依旧能够保持显著特征，显示其在恶意攻击下的鲁棒性。 THEMIS 框架的核心挑战包括： 1. 提取加密模型的难题：移动端深度学习应用中，部分模型采用加密存储，提取过程中面临文件分析、模型识别、动态提取等挑战。 2. 只读特性：许多模型在部署时被编译为优化格式，导致无法修改，只能进行推理。THEMIS 通过深度解析模型结构，使其具备写入能力，支持水印嵌入。 3. 仅推理特性：一些模型去除了反向传播能力，成为仅支持推理的模型。THEMIS 提出的 FFKEW 算法可以高效嵌入水印，无需重新训练模型。 THEMIS 框架提供了多项创新解决方案，为普通深度学习应用开发者提供了强有力的模型保护工具。