Исследователи представили метод «цифровых отпечатков» для больших языковых моделей, позволяющий идентифицировать конкретную модель по распределению вероятностей вывода всего одного токена. Техника использует уникальные различия в логитах, возникающие из-за особенностей обучения и архитектурных настроек, что позволяет с высокой точностью определять источник генерации текста даже при минимальном объеме данных.

Метод опирается на анализ выходных данных модели до этапа семплирования. Поскольку каждая LLM обладает специфическим «почерком» в распределении вероятностей следующего токена, этот профиль становится своего рода уникальным идентификатором. Авторы продемонстрировали, что даже при ограниченном доступе к API, где модель возвращает только вероятности или ограниченный набор токенов, можно с высокой достоверностью отличить одну модель от другой.

Это исследование имеет серьезные последствия для сферы безопасности и авторского права. Возможность идентификации модели по одному токену позволяет отслеживать использование проприетарных систем, проверять соблюдение лицензионных соглашений и выявлять случаи, когда одна модель используется для дообучения другой без соответствующего разрешения. Также метод может быть применен для верификации контента, созданного ИИ, в условиях, когда необходимо подтвердить происхождение текста.

Ключевые факты

  • Метод позволяет идентифицировать модель, анализируя распределение вероятностей только одного выходного токена.
  • Уникальность «отпечатка» обусловлена различиями в весах моделей, наборах данных для обучения и методах токенизации.
  • Техника эффективна даже в сценариях с ограниченным доступом к API, где модель предоставляет только логиты или вероятности.
  • Исследование открывает новые возможности для защиты интеллектуальной собственности и контроля за использованием закрытых моделей в сторонних сервисах.