Character-Level Perturbations Disrupt LLM Watermarks
2509.09112v2
cs.CR, cs.AI
2025-09-16
Авторы:
Zhaoxi Zhang, Xiaomei Zhang, Yanjun Zhang, He Zhang, Shirui Pan, Bo Liu, Asif Qumer Gill, Leo Yu Zhang
Резюме на русском
## Контекст
Large Language Models (LLM) возникли как мощный инструмент для широкого круга задач, от анализа текста до генерирования контента. Однако с ростом их применения возникла необходимость в механизмах защиты авторских прав и контроля за использованием генерируемого контента. Один из таких механизмов — watermarking, который внедряет в текст специальные сигналы для идентификации источника. Хотя эти механизмы полезны, они особенно уязвимыми для попыток их обойти, в частности, при помощи различных атак на генерируемый текст. В этом контексте возникает вопрос о силе и эффективности текущих методов защиты, а также о потенциальных угрозах, связанных с их обходом.
## Метод
Мы проводим подробный анализ уязвимостей LLM watermarking, опираясь на формализацию системного моделирования. Исследуются различные типы пертурбаций текста, включая типовую ошибку, синонимизацию, деление слов, замену букв на гомоглифы и другие. Затем мы рассматриваем широту воздействия этих пертурбаций — то есть, насколько одна модификация может повлиять на множество токенов. Отдельное внимание уделяется характеристике запросов к детектору watermarking — ограниченного количества или черного ящика. Методология включает в себя научное экспериментальное исследование, включающее различные наборы данных и модели LLMs. Основной метод — Genetic Algorithm (GA), который оптимизирует атаки с использованием детектора watermarking в качестве функции подсчета.
## Результаты
Проведенные эксперименты показали, что character-level perturbations (например, типовую ошибку, синонимизацию и т.д.) значительно эффективнее, чем другие атаки, на уровне токенов. Они могут влиять на несколько токенов одновременно, что делает их идеальными для разрушения watermarking. Метод GA показал себя как сильный инструмент для адаптивной атаки. В зоне ограниченных запросов к детектору, наши атаки продемонстрировали высокую эффективность, значительно превосходя другие подходы. Наши результаты также показали, что любая фиксированная защита может быть обойдена с помощью адаптивной стратегии, подтверждая значительную уязвимость существующих систем.
## Значимость
Наши результаты имеют большое значение для развития технологий защиты авторских прав в контексте машинного обучения. Они открывают возможность для новых подходов к обходу watermarking, особенно в условиях ограниченного доступа к модели. Эти находки могут быть использованы для развития более стабильных и эффективных методов защиты контента. Также, наша работа открывает новые направления для исследований в области атак на генерируемый текст, в том числе дальнейших исс
Abstract
Large Language Model (LLM) watermarking embeds detectable signals into
generated text for copyright protection, misuse prevention, and content
detection. While prior studies evaluate robustness using watermark removal
attacks, these methods are often suboptimal, creating the misconception that
effective removal requires large perturbations or powerful adversaries.
To bridge the gap, we first formalize the system model for LLM watermark, and
characterize two realistic threat models constrained on limited access to the
watermark detector. We then analyze how different types of perturbation vary in
their attack range, i.e., the number of tokens they can affect with a single
edit. We observe that character-level perturbations (e.g., typos, swaps,
deletions, homoglyphs) can influence multiple tokens simultaneously by
disrupting the tokenization process. We demonstrate that character-level
perturbations are significantly more effective for watermark removal under the
most restrictive threat model. We further propose guided removal attacks based
on the Genetic Algorithm (GA) that uses a reference detector for optimization.
Under a practical threat model with limited black-box queries to the watermark
detector, our method demonstrates strong removal performance. Experiments
confirm the superiority of character-level perturbations and the effectiveness
of the GA in removing watermarks under realistic constraints. Additionally, we
argue there is an adversarial dilemma when considering potential defenses: any
fixed defense can be bypassed by a suitable perturbation strategy. Motivated by
this principle, we propose an adaptive compound character-level attack.
Experimental results show that this approach can effectively defeat the
defenses. Our findings highlight significant vulnerabilities in existing LLM
watermark schemes and underline the urgency for the development of new robust
mechanisms.
Ссылки и действия
Дополнительные ресурсы: