Attacks and Defenses Against LLM Fingerprinting
2508.09021v1
cs.CR, cs.AI, cs.LG
2025-08-14
Авторы:
Kevin Kurian, Ethan Holland, Sean Oesch
Резюме на русском
## Контекст
Большие языковые модели (LLM) становятся все более распространенными в различных секторах, включая медицину, финансы и образование. Их мощь и универсальность делают их незаменимыми инструментами в современных технологиях. Однако, при развертывании в системах с тестовым кругом, особенно тех, где конфиденциальность и безопасность ключевые, LLMs подвергаются риску "фингерпринтинга" (Fingerprinting). Это атака, при которой злоумышленники используют выдаваемые моделью ответы для идентификации идентичности модели, тем самым нарушая конфиденциальность разработчика и возможность использования модели в секретных задачах. Необходимость в эффективном способе защиты LLMs от таких атак ведет к возникновению новых методов, призванных обнаруживать и предотвращать такие атаки.
## Метод
Для идентификации способов оптимизации фингерпринтинга использовалась методология, основанная на реинфорсментном обучении (Reinforcement Learning, RL). Она позволяет автоматически оптимизировать выбор запросов, что увеличивает точность фингерпринтинга. Эта модель работает с минимальным количеством запросов — 3 — что демонстрирует ее прочность и эффективность. Для защиты от таких атак предложена методика, основанная на пост-обработке ответов модели. Этот метод использует другую LLM для фильтрации выходных данных, поддерживая их семантическую целостность, но при этом маскируя характеристики модели. Эти техники целенаправленно разработаны для создания эффективного компромисса между обеспечением конфиденциальности и сохранением качества выдачи.
## Результаты
Эксперименты проводились на разных моделях, используя атакующую RL-модель и защитную фильтрацию в качестве двух главных показателей. Фингерпринтинг-атака значительно повысила свою успешность, при этом используя только 3 запроса, в сравнении с случайным выбором. Защитной модели удалось существенно снизить точность фингерпринтинга, при этом сохранив качество и смысловую целостность ответов. Эти результаты показали, что обе методики эффективны в своих целях: техника атаки улучшила точность, а защитная техника снизила ее, без ущерба для качества ответов.
## Значимость
Предложенные техники могут быть применены в различных сценариях, где LLMs применяются в конфиденциальных системах — для обеспечения конфиденциальности, предотвращения утечек информации и защиты от несанкционированного использования моделей. Защитная техника может быть принята во многих системах, где требуется обеспечить конфиденциальность выдаваемых ответов, таких как банко
Abstract
As large language models are increasingly deployed in sensitive environments,
fingerprinting attacks pose significant privacy and security risks. We present
a study of LLM fingerprinting from both offensive and defensive perspectives.
Our attack methodology uses reinforcement learning to automatically optimize
query selection, achieving better fingerprinting accuracy with only 3 queries
compared to randomly selecting 3 queries from the same pool. Our defensive
approach employs semantic-preserving output filtering through a secondary LLM
to obfuscate model identity while maintaining semantic integrity. The defensive
method reduces fingerprinting accuracy across tested models while preserving
output quality. These contributions show the potential to improve
fingerprinting tools capabilities while providing practical mitigation
strategies against fingerprinting attacks.
Ссылки и действия
Дополнительные ресурсы: