最近，來(lái)自中國(guó)科學(xué)院信息工程研究所的王一丹、任煜兵、曹亞男和方濱興院士提出了一種創(chuàng)新的大語(yǔ)言模型水印框架，將傳統(tǒng)的水印技術(shù)從"權(quán)衡取舍"提升到了"協(xié)同增效"的新境界。這項(xiàng)研究以《從權(quán)衡到協(xié)同：大型語(yǔ)言模型的多功能共生水印框架》(From Trade-off to Synergy: A Versatile Symbiotic Watermarking Framework for Large Language Models)為題，發(fā)表于2025年5月的arXiv預(yù)印本平臺(tái)，論文鏈接為：https://github.com/redwyd/SymMark。

隨著大語(yǔ)言模型（LLMs）如LLaMA和OPT系列的迅猛發(fā)展，它們?cè)趧?chuàng)意內(nèi)容生成和自動(dòng)寫(xiě)作等領(lǐng)域的應(yīng)用越來(lái)越廣泛。這些技術(shù)的普及大大降低了AI生成內(nèi)容的使用門(mén)檻，帶來(lái)了顯著好處的同時(shí)，也引發(fā)了一系列挑戰(zhàn)，包括LLM可能被濫用于生成惡意內(nèi)容、侵犯知識(shí)產(chǎn)權(quán)以及傳播虛假信息。為應(yīng)對(duì)這些風(fēng)險(xiǎn)，水印技術(shù)成為了一種有前途的解決方案，可以確保LLM生成內(nèi)容的可追溯性、真實(shí)性和責(zé)任歸屬。

目前主流的LLM水印方案分為兩大類(lèi)：基于邏輯的和基于采樣的?；谶壿嫷乃。ㄈ鏚GW家族）會(huì)修改模型輸出的邏輯值，引導(dǎo)模型更傾向于生成特定的"綠色"標(biāo)記，這種方式檢測(cè)效果好但容易降低文本質(zhì)量。而基于采樣的水?。ㄈ鏏AR）則通過(guò)改變采樣過(guò)程嵌入水印，保持了更好的文本質(zhì)量但檢測(cè)效果和安全性可能較弱?？梢园堰@想象成烹飪中的兩種調(diào)味方法：一種改變?cè)媳旧恚ㄟ壿嫞?，一種改變烹飪手法（采樣）。

研究團(tuán)隊(duì)敏銳地發(fā)現(xiàn)，現(xiàn)有的水印方法都面臨著魯棒性、文本質(zhì)量和安全性之間的根本性權(quán)衡，就像一個(gè)永遠(yuǎn)只能選擇兩個(gè)的三角難題。他們提出了一個(gè)大膽的問(wèn)題：我們能否讓魯棒性、文本質(zhì)量和安全性協(xié)同工作，而不是相互沖突？

受自然生態(tài)系統(tǒng)中共生關(guān)系的啟發(fā)，研究團(tuán)隊(duì)提出了名為"SymMark"的多功能共生水印框架，它將傳統(tǒng)的權(quán)衡取舍轉(zhuǎn)變?yōu)閰f(xié)同增效。就像共生生物彼此獲益一樣，SymMark結(jié)合了基于邏輯和基于采樣的水印方法各自的優(yōu)勢(shì)，提供了一種即使在對(duì)抗條件下也能確保魯棒性、文本質(zhì)量和安全性的創(chuàng)新解決方案。

一、SymMark的三種協(xié)同策略

基于這種共生視角，SymMark探索了三種整合基于邏輯和基于采樣水印的策略。

首先是串行共生水印（Series）。這種方法在每個(gè)生成的標(biāo)記中都嵌入兩種水印，確保極高的可檢測(cè)性。想象一下，這就像在一塊餅干上同時(shí)加入兩種不同的特殊香料，無(wú)論從哪個(gè)角度檢測(cè)都能辨別出來(lái)。然而，過(guò)于強(qiáng)烈的雙重水印可能會(huì)降低文本質(zhì)量，就像過(guò)度調(diào)味會(huì)影響食物原本的風(fēng)味。

其次是并行共生水?。≒arallel）。這種方法在標(biāo)記級(jí)別交替使用兩種方法，在奇數(shù)位置使用基于邏輯的水印，在偶數(shù)位置使用基于采樣的水印。這樣做能夠平衡魯棒性和文本質(zhì)量，就像在烹飪中交替使用兩種烹飪技巧，既保留了食物的原味，又增添了特殊的風(fēng)味。不過(guò)，這種方法缺乏靈活性，無(wú)法為每個(gè)標(biāo)記自適應(yīng)地選擇最佳水印策略。

為了解決這些問(wèn)題，研究團(tuán)隊(duì)提出了第三種也是主要的配置：混合共生水?。℉ybrid）。這種方法應(yīng)用兩種水印方法的非線性組合，根據(jù)標(biāo)記的上下文自適應(yīng)地選擇最合適的策略。這可能涉及同時(shí)應(yīng)用兩種水印、僅應(yīng)用一種，或完全跳過(guò)水印，取決于標(biāo)記的特性。通過(guò)基于標(biāo)記熵和語(yǔ)義熵動(dòng)態(tài)選擇最佳策略，Hybrid增強(qiáng)了水印的安全性、韌性和流暢性。

二、基于熵的自適應(yīng)水印決策

在Hybrid方法中，兩個(gè)關(guān)鍵的熵指標(biāo)驅(qū)動(dòng)了水印策略的動(dòng)態(tài)決策：標(biāo)記熵和語(yǔ)義熵。

標(biāo)記熵源自香農(nóng)熵，衡量當(dāng)前時(shí)間步驟中標(biāo)記邏輯分布的不確定性。簡(jiǎn)單來(lái)說(shuō)，它反映了模型在生成特定標(biāo)記時(shí)的信心程度。想象一下，當(dāng)你在玩"猜下一個(gè)詞"的游戲時(shí)，有些情境下幾乎只有一個(gè)合理的詞（低熵），而在其他情境下可能有多個(gè)合理選擇（高熵）。

當(dāng)標(biāo)記熵較高時(shí)，模型展現(xiàn)出更大的不確定性，邏輯分布中有多個(gè)競(jìng)爭(zhēng)的候選項(xiàng)。由于標(biāo)記選擇本身就不穩(wěn)定，修改邏輯對(duì)文本質(zhì)量的干擾最小，同時(shí)確保有效的水印嵌入。這就像在一道多種配料都可行的食譜中改變一種配料，不會(huì)顯著影響最終的味道。

語(yǔ)義熵則衡量當(dāng)前時(shí)間步中前k個(gè)候選標(biāo)記在語(yǔ)義含義上的多樣性。研究團(tuán)隊(duì)使用K-means聚類(lèi)算法將top-k標(biāo)記的嵌入分為n組，然后計(jì)算這些語(yǔ)義群組的熵。

當(dāng)語(yǔ)義熵較低時(shí)，意味著頂級(jí)候選標(biāo)記具有相似的語(yǔ)義含義，用一個(gè)替換另一個(gè)對(duì)文本解釋的影響很小。此時(shí)添加采樣水印不太可能改變生成內(nèi)容的語(yǔ)義，就像在同一個(gè)蔬菜家族中替換一種蔬菜不會(huì)根本性地改變菜肴的風(fēng)味。而當(dāng)語(yǔ)義熵較高時(shí)，頂級(jí)候選標(biāo)記在語(yǔ)義上差異明顯，改變采樣過(guò)程可能會(huì)擾亂句子的預(yù)期含義，此時(shí)不適合使用采樣水印。

這種基于雙重熵的自適應(yīng)方法使Hybrid策略能夠在保持高檢測(cè)率的同時(shí)盡可能地保證文本質(zhì)量和語(yǔ)義保真度。

三、統(tǒng)一的檢測(cè)算法

研究團(tuán)隊(duì)還提出了一種統(tǒng)一算法，能夠有效、高效地檢測(cè)所有三種策略。這種檢測(cè)方法利用了一個(gè)簡(jiǎn)單但強(qiáng)大的原則：如果檢測(cè)到任何水印信號(hào)（無(wú)論是基于邏輯還是基于采樣的），則認(rèn)為文本包含水印。這種方法之所以有效，是因?yàn)樗〖夹g(shù)通常具有極低的誤報(bào)率，大大降低了誤判的可能性。

四、實(shí)驗(yàn)結(jié)果分析

研究團(tuán)隊(duì)進(jìn)行了大量實(shí)驗(yàn)，在多個(gè)數(shù)據(jù)集和模型上一致表明SymMark優(yōu)于現(xiàn)有基線方法。

在可檢測(cè)性方面，Series策略在所有數(shù)據(jù)集和模型上都實(shí)現(xiàn)了完美的真陽(yáng)性率（TPR）1.000，意味著沒(méi)有假陰性，這在水印上下文中至關(guān)重要。這得益于對(duì)每個(gè)標(biāo)記注入雙重水印信號(hào)，增強(qiáng)了整個(gè)序列中水印的存在。然而，這種增強(qiáng)的可檢測(cè)性以文本質(zhì)量為代價(jià)，因?yàn)樵谶壿嫼筒蓸与A段都對(duì)標(biāo)記選擇施加了強(qiáng)烈約束。

Parallel策略展示了與基線相比具有競(jìng)爭(zhēng)力的可檢測(cè)性能，F(xiàn)1/AUC得分比采樣水印平均提高了1.60%/1.35%。盡管每個(gè)標(biāo)記僅被兩種水印策略之一（邏輯或采樣）修改，但對(duì)檢測(cè)而言，水印信號(hào)仍然足夠。這表明，雙重水印并非檢測(cè)所必需。

Hybrid策略在各種數(shù)據(jù)集和基礎(chǔ)模型配置上始終優(yōu)于基線，證明了其卓越的泛化能力。與采樣水印相比，Hybrid的F1/AUC性能平均提高了1.90%/1.52%。這種策略根據(jù)熵特性自適應(yīng)地分配水印策略，使得水印放置最優(yōu)，確保高可檢測(cè)性的同時(shí)保持文本質(zhì)量。

在文本質(zhì)量方面，研究團(tuán)隊(duì)使用困惑度和下游任務(wù)來(lái)評(píng)估水印對(duì)文本質(zhì)量的影響。Parallel策略的困惑度較低，因?yàn)槊總€(gè)標(biāo)記上的雙重水印比單一水印更嚴(yán)重地降低文本質(zhì)量。而Hybrid策略通過(guò)考慮語(yǔ)義熵并自適應(yīng)地應(yīng)用特定階段的水印，有效地管理文本質(zhì)量并實(shí)現(xiàn)了最低的困惑度。

在下游任務(wù)測(cè)試中，研究發(fā)現(xiàn)，生成的答案越長(zhǎng)（例如，任務(wù)2和任務(wù)4），注入水印對(duì)下游任務(wù)的影響就越小。Hybrid策略在所有任務(wù)中都保持高檢測(cè)率和出色的任務(wù)表現(xiàn)。具體來(lái)說(shuō)，在任務(wù)1上性能僅下降0.87%，在任務(wù)4上僅下降0.96%，展示了最小的失真。相比之下，其他基線方法要么文本質(zhì)量下降過(guò)多，要么可檢測(cè)性較弱。

在面對(duì)真實(shí)世界攻擊的魯棒性測(cè)試中，Hybrid策略展現(xiàn)出持續(xù)穩(wěn)健的水印檢測(cè)能力。研究團(tuán)隊(duì)測(cè)試了編輯、復(fù)制-粘貼、回譯和改寫(xiě)等四種攻擊情境。串行和混合共生水印的平均AUC值分別為0.987和0.984，顯著優(yōu)于此前最穩(wěn)健的方法Unigram，其AUC為0.951。

Hybrid在魯棒性方面的卓越表現(xiàn)歸功于三方面原因：雙信號(hào)注入確保即使一個(gè)水印信號(hào)部分受損，另一個(gè)仍保持完整；基于熵的自適應(yīng)方法確保水印既不易察覺(jué)又有彈性；以及跨攻擊泛化能力，使其在各種對(duì)抗條件下保持高檢測(cè)率。

在安全性測(cè)試方面，研究團(tuán)隊(duì)針對(duì)Unigram和Hybrid方法應(yīng)用了水印竊取方法并執(zhí)行了欺騙攻擊。實(shí)驗(yàn)結(jié)果表明，隨著攻擊者獲取的標(biāo)記數(shù)量增加，攻擊成功率和z分?jǐn)?shù)也隨之提高。然而，與原始Unigram相比，Hybrid方案的攻擊成功率明顯更低。當(dāng)生成200,000個(gè)標(biāo)記時(shí)，原始Unigram的攻擊成功率達(dá)到69%，而共生水印方案僅為18%。

Hybrid方案安全性增強(qiáng)源于其邏輯基礎(chǔ)和采樣基礎(chǔ)水印方法的非線性組合。由于共生水印規(guī)則不僅受邏輯影響，還受采樣過(guò)程中固有隨機(jī)性的影響，攻擊者無(wú)法僅通過(guò)標(biāo)記頻率統(tǒng)計(jì)或分布建模重建水印規(guī)則。這使得Hybrid方案在攻擊者積極試圖破壞水印的對(duì)抗環(huán)境中大大提高了抵抗水印竊取攻擊的能力，提供了增強(qiáng)的安全性。

五、研究意義與未來(lái)方向

這項(xiàng)研究的主要貢獻(xiàn)在于系統(tǒng)地探索了基于邏輯和基于采樣水印方法的集成，開(kāi)創(chuàng)了它們協(xié)同的全面方法；提出了包含三種不同策略的多功能共生水印框架SymMark；以及通過(guò)大量實(shí)驗(yàn)證明SymMark框架在可檢測(cè)性、魯棒性、文本質(zhì)量和安全性方面達(dá)到了最先進(jìn)（SOTA）的性能。

這一創(chuàng)新框架將傳統(tǒng)水印技術(shù)從權(quán)衡取舍轉(zhuǎn)變?yōu)閰f(xié)同增效，為未來(lái)的水印技術(shù)提供了新的思路。研究人員計(jì)劃在未來(lái)探索更多的共生水印范式，超越熵視角，進(jìn)一步推進(jìn)水印技術(shù)的發(fā)展。

就像任何創(chuàng)新研究一樣，這項(xiàng)工作也有其局限性。研究團(tuán)隊(duì)承認(rèn)，本文從熵的角度探索了結(jié)合基于邏輯和基于采樣的水印，但熵并非唯一的評(píng)估指標(biāo)。未來(lái)的研究可以采用其他數(shù)學(xué)或信息論工具來(lái)增強(qiáng)共生水印設(shè)計(jì)。例如，信息增益和信噪比等指標(biāo)，與熵一起，可能會(huì)對(duì)水印性能、魯棒性和效率提供更深入的見(jiàn)解。

盡管存在局限性，研究團(tuán)隊(duì)相信共生水印概念為這一快速發(fā)展領(lǐng)域的LLM水印提供了一個(gè)新穎的視角和有意義的方向。這種方法不僅是技術(shù)上的創(chuàng)新，還為如何保護(hù)知識(shí)產(chǎn)權(quán)、遏制虛假信息和減輕AI生成內(nèi)容濫用（包括學(xué)術(shù)欺詐）提供了新思路，有助于增強(qiáng)公眾對(duì)AI技術(shù)的信任。