是的,相似性搜索可用于检测被篡改的 AI 模型权重,但其有效性取决于权重的分析方式以及篡改的具体情境。相似性搜索涉及比较数据点(在此例中是模型权重),以识别与基线模式或偏差。如果模型的权重被恶意更改(例如,插入后门或降低性能),将其与已知的“干净”版本进行比较可以突出差异。例如,对可信模型的权重进行哈希处理,并将其哈希值与可疑模型进行比较,可以检测到确切的变化。然而,大多数现实世界的篡改并非如此简单粗暴;细微的修改可能需要更精细的相似性度量,例如嵌入空间中的向量距离比较。
为了实现这一点,开发人员可以使用余弦相似度或欧几里得距离等技术来衡量两组权重之间的对齐程度。例如,在联邦学习中,参与者可以将其本地模型更新与全局模型进行比较,以检测异常值。像 FAISS(一个高效相似性搜索库)这样的工具可以索引基线权重,并快速标记超出阈值的模型。另一个例子是监控权重分布:如果神经网络中某层的权重与历史训练检查点相比突然呈现异常模式(例如,极端值或偏斜分布),这可能预示着篡改。然而,这种方法需要可靠的基线,并且可能难以应对旨在模仿合法权重分布的复杂攻击。
主要的局限性源于模型权重的复杂性和某些攻击的隐蔽性。高维权重向量使得精确比较计算成本高昂,而且即使是微小但影响重大的变化(例如,在后门攻击中更改几个关键神经元)也可能不会显著影响整体相似性得分。此外,合法的微调或重新训练可能会引入类似于篡改的良性变化,导致误报。为了解决这个问题,将相似性搜索与其他方法相结合(例如,对激活模式进行异常检测或对权重分布变化进行统计测试)可以提高鲁棒性。例如,同时检查权重相似性以及模型在测试输入上的行为(例如,验证中毒数据样本的输出)可以提供更全面的防御。虽然相似性搜索是一个有用的工具,但它很少能单独发挥作用,最好作为分层安全策略的一部分使用。