最近，來自中國科學(xué)院信息工程研究所的王一丹、任煜兵、曹亞男和方濱興院士提出了一種創(chuàng)新的大語言模型水印框架，將傳統(tǒng)的水印技術(shù)從"權(quán)衡取舍"提升到了"協(xié)同增效"的新境界。這項研究以《從權(quán)衡到協(xié)同：大型語言模型的多功能共生水印框架》(From Trade-off to Synergy: A Versatile Symbiotic Watermarking Framework for Large Language Models)為題，發(fā)表于2025年5月的arXiv預(yù)印本平臺，論文鏈接為：https://github.com/redwyd/SymMark。

隨著大語言模型（LLMs）如LLaMA和OPT系列的迅猛發(fā)展，它們在創(chuàng)意內(nèi)容生成和自動寫作等領(lǐng)域的應(yīng)用越來越廣泛。這些技術(shù)的普及大大降低了AI生成內(nèi)容的使用門檻，帶來了顯著好處的同時，也引發(fā)了一系列挑戰(zhàn)，包括LLM可能被濫用于生成惡意內(nèi)容、侵犯知識產(chǎn)權(quán)以及傳播虛假信息。為應(yīng)對這些風(fēng)險，水印技術(shù)成為了一種有前途的解決方案，可以確保LLM生成內(nèi)容的可追溯性、真實性和責(zé)任歸屬。

目前主流的LLM水印方案分為兩大類：基于邏輯的和基于采樣的?；谶壿嫷乃。ㄈ鏚GW家族）會修改模型輸出的邏輯值，引導(dǎo)模型更傾向于生成特定的"綠色"標(biāo)記，這種方式檢測效果好但容易降低文本質(zhì)量。而基于采樣的水印（如AAR）則通過改變采樣過程嵌入水印，保持了更好的文本質(zhì)量但檢測效果和安全性可能較弱?？梢园堰@想象成烹飪中的兩種調(diào)味方法：一種改變原料本身（邏輯），一種改變烹飪手法（采樣）。

研究團(tuán)隊敏銳地發(fā)現(xiàn)，現(xiàn)有的水印方法都面臨著魯棒性、文本質(zhì)量和安全性之間的根本性權(quán)衡，就像一個永遠(yuǎn)只能選擇兩個的三角難題。他們提出了一個大膽的問題：我們能否讓魯棒性、文本質(zhì)量和安全性協(xié)同工作，而不是相互沖突？

受自然生態(tài)系統(tǒng)中共生關(guān)系的啟發(fā)，研究團(tuán)隊提出了名為"SymMark"的多功能共生水印框架，它將傳統(tǒng)的權(quán)衡取舍轉(zhuǎn)變?yōu)閰f(xié)同增效。就像共生生物彼此獲益一樣，SymMark結(jié)合了基于邏輯和基于采樣的水印方法各自的優(yōu)勢，提供了一種即使在對抗條件下也能確保魯棒性、文本質(zhì)量和安全性的創(chuàng)新解決方案。

一、SymMark的三種協(xié)同策略

基于這種共生視角，SymMark探索了三種整合基于邏輯和基于采樣水印的策略。

首先是串行共生水印（Series）。這種方法在每個生成的標(biāo)記中都嵌入兩種水印，確保極高的可檢測性。想象一下，這就像在一塊餅干上同時加入兩種不同的特殊香料，無論從哪個角度檢測都能辨別出來。然而，過于強(qiáng)烈的雙重水印可能會降低文本質(zhì)量，就像過度調(diào)味會影響食物原本的風(fēng)味。

其次是并行共生水?。≒arallel）。這種方法在標(biāo)記級別交替使用兩種方法，在奇數(shù)位置使用基于邏輯的水印，在偶數(shù)位置使用基于采樣的水印。這樣做能夠平衡魯棒性和文本質(zhì)量，就像在烹飪中交替使用兩種烹飪技巧，既保留了食物的原味，又增添了特殊的風(fēng)味。不過，這種方法缺乏靈活性，無法為每個標(biāo)記自適應(yīng)地選擇最佳水印策略。

為了解決這些問題，研究團(tuán)隊提出了第三種也是主要的配置：混合共生水印（Hybrid）。這種方法應(yīng)用兩種水印方法的非線性組合，根據(jù)標(biāo)記的上下文自適應(yīng)地選擇最合適的策略。這可能涉及同時應(yīng)用兩種水印、僅應(yīng)用一種，或完全跳過水印，取決于標(biāo)記的特性。通過基于標(biāo)記熵和語義熵動態(tài)選擇最佳策略，Hybrid增強(qiáng)了水印的安全性、韌性和流暢性。

二、基于熵的自適應(yīng)水印決策

在Hybrid方法中，兩個關(guān)鍵的熵指標(biāo)驅(qū)動了水印策略的動態(tài)決策：標(biāo)記熵和語義熵。

標(biāo)記熵源自香農(nóng)熵，衡量當(dāng)前時間步驟中標(biāo)記邏輯分布的不確定性。簡單來說，它反映了模型在生成特定標(biāo)記時的信心程度。想象一下，當(dāng)你在玩"猜下一個詞"的游戲時，有些情境下幾乎只有一個合理的詞（低熵），而在其他情境下可能有多個合理選擇（高熵）。

當(dāng)標(biāo)記熵較高時，模型展現(xiàn)出更大的不確定性，邏輯分布中有多個競爭的候選項。由于標(biāo)記選擇本身就不穩(wěn)定，修改邏輯對文本質(zhì)量的干擾最小，同時確保有效的水印嵌入。這就像在一道多種配料都可行的食譜中改變一種配料，不會顯著影響最終的味道。

語義熵則衡量當(dāng)前時間步中前k個候選標(biāo)記在語義含義上的多樣性。研究團(tuán)隊使用K-means聚類算法將top-k標(biāo)記的嵌入分為n組，然后計算這些語義群組的熵。

當(dāng)語義熵較低時，意味著頂級候選標(biāo)記具有相似的語義含義，用一個替換另一個對文本解釋的影響很小。此時添加采樣水印不太可能改變生成內(nèi)容的語義，就像在同一個蔬菜家族中替換一種蔬菜不會根本性地改變菜肴的風(fēng)味。而當(dāng)語義熵較高時，頂級候選標(biāo)記在語義上差異明顯，改變采樣過程可能會擾亂句子的預(yù)期含義，此時不適合使用采樣水印。

這種基于雙重熵的自適應(yīng)方法使Hybrid策略能夠在保持高檢測率的同時盡可能地保證文本質(zhì)量和語義保真度。

三、統(tǒng)一的檢測算法

研究團(tuán)隊還提出了一種統(tǒng)一算法，能夠有效、高效地檢測所有三種策略。這種檢測方法利用了一個簡單但強(qiáng)大的原則：如果檢測到任何水印信號（無論是基于邏輯還是基于采樣的），則認(rèn)為文本包含水印。這種方法之所以有效，是因為水印技術(shù)通常具有極低的誤報率，大大降低了誤判的可能性。

四、實驗結(jié)果分析

研究團(tuán)隊進(jìn)行了大量實驗，在多個數(shù)據(jù)集和模型上一致表明SymMark優(yōu)于現(xiàn)有基線方法。

在可檢測性方面，Series策略在所有數(shù)據(jù)集和模型上都實現(xiàn)了完美的真陽性率（TPR）1.000，意味著沒有假陰性，這在水印上下文中至關(guān)重要。這得益于對每個標(biāo)記注入雙重水印信號，增強(qiáng)了整個序列中水印的存在。然而，這種增強(qiáng)的可檢測性以文本質(zhì)量為代價，因為在邏輯和采樣階段都對標(biāo)記選擇施加了強(qiáng)烈約束。

Parallel策略展示了與基線相比具有競爭力的可檢測性能，F(xiàn)1/AUC得分比采樣水印平均提高了1.60%/1.35%。盡管每個標(biāo)記僅被兩種水印策略之一（邏輯或采樣）修改，但對檢測而言，水印信號仍然足夠。這表明，雙重水印并非檢測所必需。

Hybrid策略在各種數(shù)據(jù)集和基礎(chǔ)模型配置上始終優(yōu)于基線，證明了其卓越的泛化能力。與采樣水印相比，Hybrid的F1/AUC性能平均提高了1.90%/1.52%。這種策略根據(jù)熵特性自適應(yīng)地分配水印策略，使得水印放置最優(yōu)，確保高可檢測性的同時保持文本質(zhì)量。

在文本質(zhì)量方面，研究團(tuán)隊使用困惑度和下游任務(wù)來評估水印對文本質(zhì)量的影響。Parallel策略的困惑度較低，因為每個標(biāo)記上的雙重水印比單一水印更嚴(yán)重地降低文本質(zhì)量。而Hybrid策略通過考慮語義熵并自適應(yīng)地應(yīng)用特定階段的水印，有效地管理文本質(zhì)量并實現(xiàn)了最低的困惑度。

在下游任務(wù)測試中，研究發(fā)現(xiàn)，生成的答案越長（例如，任務(wù)2和任務(wù)4），注入水印對下游任務(wù)的影響就越小。Hybrid策略在所有任務(wù)中都保持高檢測率和出色的任務(wù)表現(xiàn)。具體來說，在任務(wù)1上性能僅下降0.87%，在任務(wù)4上僅下降0.96%，展示了最小的失真。相比之下，其他基線方法要么文本質(zhì)量下降過多，要么可檢測性較弱。

在面對真實世界攻擊的魯棒性測試中，Hybrid策略展現(xiàn)出持續(xù)穩(wěn)健的水印檢測能力。研究團(tuán)隊測試了編輯、復(fù)制-粘貼、回譯和改寫等四種攻擊情境。串行和混合共生水印的平均AUC值分別為0.987和0.984，顯著優(yōu)于此前最穩(wěn)健的方法Unigram，其AUC為0.951。

Hybrid在魯棒性方面的卓越表現(xiàn)歸功于三方面原因：雙信號注入確保即使一個水印信號部分受損，另一個仍保持完整；基于熵的自適應(yīng)方法確保水印既不易察覺又有彈性；以及跨攻擊泛化能力，使其在各種對抗條件下保持高檢測率。

在安全性測試方面，研究團(tuán)隊針對Unigram和Hybrid方法應(yīng)用了水印竊取方法并執(zhí)行了欺騙攻擊。實驗結(jié)果表明，隨著攻擊者獲取的標(biāo)記數(shù)量增加，攻擊成功率和z分?jǐn)?shù)也隨之提高。然而，與原始Unigram相比，Hybrid方案的攻擊成功率明顯更低。當(dāng)生成200,000個標(biāo)記時，原始Unigram的攻擊成功率達(dá)到69%，而共生水印方案僅為18%。

Hybrid方案安全性增強(qiáng)源于其邏輯基礎(chǔ)和采樣基礎(chǔ)水印方法的非線性組合。由于共生水印規(guī)則不僅受邏輯影響，還受采樣過程中固有隨機(jī)性的影響，攻擊者無法僅通過標(biāo)記頻率統(tǒng)計或分布建模重建水印規(guī)則。這使得Hybrid方案在攻擊者積極試圖破壞水印的對抗環(huán)境中大大提高了抵抗水印竊取攻擊的能力，提供了增強(qiáng)的安全性。

五、研究意義與未來方向

這項研究的主要貢獻(xiàn)在于系統(tǒng)地探索了基于邏輯和基于采樣水印方法的集成，開創(chuàng)了它們協(xié)同的全面方法；提出了包含三種不同策略的多功能共生水印框架SymMark；以及通過大量實驗證明SymMark框架在可檢測性、魯棒性、文本質(zhì)量和安全性方面達(dá)到了最先進(jìn)（SOTA）的性能。

這一創(chuàng)新框架將傳統(tǒng)水印技術(shù)從權(quán)衡取舍轉(zhuǎn)變?yōu)閰f(xié)同增效，為未來的水印技術(shù)提供了新的思路。研究人員計劃在未來探索更多的共生水印范式，超越熵視角，進(jìn)一步推進(jìn)水印技術(shù)的發(fā)展。

就像任何創(chuàng)新研究一樣，這項工作也有其局限性。研究團(tuán)隊承認(rèn)，本文從熵的角度探索了結(jié)合基于邏輯和基于采樣的水印，但熵并非唯一的評估指標(biāo)。未來的研究可以采用其他數(shù)學(xué)或信息論工具來增強(qiáng)共生水印設(shè)計。例如，信息增益和信噪比等指標(biāo)，與熵一起，可能會對水印性能、魯棒性和效率提供更深入的見解。

盡管存在局限性，研究團(tuán)隊相信共生水印概念為這一快速發(fā)展領(lǐng)域的LLM水印提供了一個新穎的視角和有意義的方向。這種方法不僅是技術(shù)上的創(chuàng)新，還為如何保護(hù)知識產(chǎn)權(quán)、遏制虛假信息和減輕AI生成內(nèi)容濫用（包括學(xué)術(shù)欺詐）提供了新思路，有助于增強(qiáng)公眾對AI技術(shù)的信任。