AttestLLM: Efficient Attestation Framework for Billion-scale On-device LLMs
2509.06326v1
cs.CR, cs.AI
2025-09-10
Авторы:
Ruisi Zhang, Yifei Zhao, Neusha Javidnia, Mengxin Zheng, Farinaz Koushanfar
Резюме на русском
## Контекст
В последние годы наблюдается быстрое развитие локальных больших языковых моделей (LLM), таких как Apple своего девайса Intelligence. Эти модели позволяют уменьшить зависимость от сети, обеспечить большую конфиденциальность и повысить отзывчивость. Однако с ростом широкого применения таких моделей возникает критическая проблема — обеспечение их легитимности и защита от несанкционированных изменений. Недостаточность существующих методов аттестации, которые не могут эффективно работать с миллиардами параметров LLMs, создает нужду в разработке новых, более эффективных решений. Целью данной работы является разработка простого, эффективного и надежного аттестационного фреймворка AttestLLM, который обеспечивает защиту хардварного интеллектуального пользования (IP) верификацией только легитимных моделей на устройствах.
## Метод
AttestLLM использует сочетание алгоритмических, программных и аппаратных решений для внедрения надежных меток водо标а на дистрибуции активаций в больших моделях языкового моделирования. Этот фреймворк интегрируется в Trusted Execution Environment (TEE) для обеспечения безопасности и эффективности проверки. Основной идеей является технология watermarking, которая заносит в загружаемые векторы активаций специальные, незаметные для пользователя, отметки. Эти отметки позволяют одновременно проверить легитимность модели и возможность ее выполнения на определенном устройстве. Для эффективности аттестационного протокола используется оптимизация в рамках TEE, чтобы минимизировать влияние проверки на производительность работы модели. Таким образом, AttestLLM обеспечивает надежную защиту IP в условиях масштабирования без существенных снижений производительности.
## Результаты
Для подтверждения эффективности AttestLLM проводились тесты на моделях Llama, Qwen и Phi с различными наборами данных. Результаты показали, что фреймворк достиг высокой надежности в проверке легитимности моделей. Он обеспечил отличные результаты в скорости аттестации (минимальное влияние на производительность) и точность в определении нелегитимных моделей. Были проведены эксперименты, показавшие, что AttestLLM надежно обнаруживает замену модели и попытки ее фальсификации. Также были проведены сравнительные эксперименты, подтвердив, что AttestLLM превосходит существующие методы в скорости и эффективности проверки.
## Значимость
AttestLLM представляет собой новый подход к защите хардварных решений для больших моделей языкового моделирования. Его важность заключается в том, что он позволяет эффективно проверять легитимность моделей в условиях масштабирования, с минимальным влиянием на производительность. Это решение может бы
Abstract
As on-device LLMs(e.g., Apple on-device Intelligence) are widely adopted to
reduce network dependency, improve privacy, and enhance responsiveness,
verifying the legitimacy of models running on local devices becomes critical.
Existing attestation techniques are not suitable for billion-parameter Large
Language Models (LLMs), struggling to remain both time- and memory-efficient
while addressing emerging threats in the LLM era. In this paper, we present
AttestLLM, the first-of-its-kind attestation framework to protect the
hardware-level intellectual property (IP) of device vendors by ensuring that
only authorized LLMs can execute on target platforms. AttestLLM leverages an
algorithm/software/hardware co-design approach to embed robust watermarking
signatures onto the activation distributions of LLM building blocks. It also
optimizes the attestation protocol within the Trusted Execution Environment
(TEE), providing efficient verification without compromising inference
throughput. Extensive proof-of-concept evaluations on LLMs from Llama, Qwen,
and Phi families for on-device use cases demonstrate AttestLLM's attestation
reliability, fidelity, and efficiency. Furthermore, AttestLLM enforces model
legitimacy and exhibits resilience against model replacement and forgery
attacks.
Ссылки и действия
Дополнительные ресурсы: