背景與挑戰
聯邦學習(Federated Learning, FL)因其去中心化特性,使資料保留在各本地端裝置,避免原始資料外洩,但同時也帶來全局模型遭到竄改或非法散佈的風險。根據 arXiv:2505.13651v2(2025年)指出,每位客戶端均可取得全局模型,攻擊者一旦竊取即可能在黑盒環境中濫用,傳統非追蹤水印或白盒水印方法,難以兼顧性能與隱蔽性。
黑盒可追蹤水印定義
何謂「可追蹤黑盒水印」?按照論文所定義,即在無需白盒訪問(如權重、梯度)的條件下,僅透過輸入-輸出行為,就能鑑別模型是否含有特定客戶端專屬水印。這種機制不僅要確保水印的隱蔽性與魯棒性,還須保證追蹤性(traceability),以滿足智慧財產歸屬認證需求。
TraMark 核心原理
針對上述需求,研究者提出伺服器端水印方法「TraMark」。其創新點在於將模型參數空間切分為「主任務區(main task region)」與「水印區(watermarking region)」。在聚合更新時,只對主任務區進行多客戶端匯總,並以獨立的水印數據集在水印區內植入客戶端專屬標記。此做法不影響主任務性能,並能將水印區與主任務區解耦,提升可追蹤性與隱蔽性。
個性化水印嵌入流程
具體流程如下:首先,伺服器執行常規 FL 聚合,生成全局主任務參數。接著,對每一客戶端複製此主任務參數,並維持其水印區初始狀態。再利用專屬水印數據集,針對水印區進行少量訓練,使該區參數學習到可辨識的輸入-輸出映射。最後,將帶水印的模型傳回客戶端,完成定製化派發。
效能驗證與實務影響
根據論文與 FedML Benchmark 測試,TraMark 能在多種模型(CNN、Transformer)與不同資料分佈(IID、non-IID)下,同時維持主任務準確率與水印識別率。實測顯示,主任務性能衰減低於1%,而在黑盒環境僅透過探測輸入即可達成超過95%的水印檢測率,證明方法兼具可靠度與可用性。
合規與實作建議
在實務部署時,需留意個資保護與開源授權規範。依據《歐盟通用資料保護條例》(GDPR)第5條,任何附加水印過程皆不得洩漏用戶敏感資訊;同時若使用 GPL 或 Apache 2.0 協議下之開源框架,需遵守相應的衍生作品授權要求。此外,建議結合 DevOps 流程,將水印嵌入設為 CI/CD 階段,並透過安全審計工具檢查水印區參數變動,以提升管理可追溯性。
結語與展望
可追蹤黑盒水印為聯邦學習帶來更完善的智慧財產保護機制,TraMark 方法透過參數空間劃分與個性化水印訓練,有效平衡主任務效能與追蹤能力。未來可結合差分隱私(DP)與安全多方計算(MPC)進一步強化隱私保護,並探索在多樣化邊緣設備的適用性。
