移动端 AI 安全再突破：水印保护新范式 THEMIS 框架发布，403 个 AI App 成功保护率超 8 成

随着智能手机与物联网设备的广泛应用，移动端AI已成为发展趋势，带来了离线运行、低延迟和隐私保护等多重优势。但模型的本地存储也引发了一系列严重风险。

例如，模型提取与盗窃：攻击者能够通过逆向工程获取模型，从而窃取开发者的核心资产；另外还有知识产权侵犯：被盗的模型可能会被不法再利用、重新分发或商业化，这将造成经济损失。

那么，如何对手机中的AI模型进行加密呢？

墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学的研究者提出了一种水印保护新范式——THEMIS框架，这是一种首创性的系统性解决方案，专门针对在移动端AI模型部署后进行保护。该研究已经被全球顶级安全会议USENIX Security 2025接收。

具体而言，THEMIS是一个自动化工具，能够通过重构可写的模型来解除设备上深度学习模型的只读限制，并利用这些模型的不可训练性来解决水印参数问题，从而保护模型所有者的知识产权。

各类数据集和模型结构的广泛实验结果显示，THEMIS在多个指标上均表现出色。

此外，还对来自Google Play的403个现实世界深度学习移动应用进行了实证研究，成功率高达81.14%，显示出THEMIS的实际应用潜力。

移动端AI模型面临的安全困境

在移动端AI模型的使用中，主要涉及三类参与方：

• 安卓应用商店：提供移动应用程序，方便广大用户访问。

• 深度学习应用开发者：开发包含本地模型的移动应用。

• 攻击者：试图不法获取本地模型以谋取经济利益。

然而，在现实场景中，许多移动端深度学习（DL）应用中的本地模型缺乏保护，这主要是由于以下几个原因：

• 开发者知识不足：缺乏对模型盗窃及保护措施的理解。

• 缺乏工具支持：即使意识到风险，市场上也缺乏现成的本地模型水印SDK。

• 技术门槛高：即使认识到水印的重要性，开发者可能也缺乏必要的技术能力去实现这一点。

这些问题使得本地模型盗窃变得极其容易，给开发者的知识产权带来重大侵犯。

THEMIS的作用

THEMIS旨在帮助普通的DL应用开发者，从应用商店的角度出发，维护本地模型的知识产权。

针对行业中的三大挑战，THEMIS给出了三项创新方案。

挑战一：提取加密模型的难题

在移动端深度学习应用中，有些模型常常被加密存储，直接获取并不容易。提取加密模型面临一个主要难点：

模型加密与元数据的缺失：提取的模型往往缺少必要的元数据，如输入/输出描述和预处理详情，从而导致模型在标准环境下不能使用。

THEMIS通过执行跟踪方法，准确提取加密模型中的元数据：

• 文件分析：使用Apktool解压Android APK，以获取接近原始的文件结构。

• 模型识别：扫描解压后的APK，识别符合模型命名规则的文件。

• 动态提取：对加密模型进行运行时分析，捕获解密API调用，补全元数据信息，以确保提取的模型可用。

挑战二：只读 (Read-only) 特性

许多移动端模型在部署时被编译为优化格式，使得模型参数为只读，无法进行修改。这一特性使得模型部署后无可修改的空间，包括嵌入水印的难度加大。

THEMIS通过深入解析模型结构，使得只读模型具备了写入能力，为后续水印的嵌入提供了基础。

• 蓝图提取：利用官方Schema文件获取模型结构。

• 代码生成：自动生成涉及操作模型的类和方法。

• 反序列化与写入：提取数据并自动生成可写模型，整个过程无需人工干预。

挑战三：仅推理 (Inference-only) 特性

在许多移动端模型中，反向传播能力在部署时被去除，形成纯粹的推理模型，这使得依赖模型训练的传统水印嵌入方法无从适用。

为此，THEMIS提出了FFKEW算法，无需重新训练即可高效嵌入水印。

• 高效：通过一次模型推理确定水印参数。

• 精准：将水印嵌入模型权重，确保其不可逆和不可伪造。

• 鲁棒性：在提取和转换攻击下，水印仍能保留显著特征。

实验效果

THEMIS框架在实际应用中表现优异，经过严谨的实验验证，显示其在保护已部署的、加密的、只读的、仅推理的移动端AI模型方面的有效性与鲁棒性。

在真实场景的验证中，测试发现，在Google Play下载的403个安卓应用上，水印成功嵌入率达81.14% (327/403)。

• 模型完整性保障：水印嵌入后，模型准确率影响低于2%，证明其在实际应用中的稳定性。

• 多领域覆盖：包括医疗、金融、智能家居等多种应用场景，展示了THEMIS框架的广泛适用性。

• 攻击防御能力：在模型提取和转换攻击条件下，水印依然能够保持明显特征，验证了其在恶意攻击下的鲁棒性。

论文PDF：https://arxiv.org/pdf/2503.23748v1

代码仓库：https://github.com/Jinxhy/THEMIS

本文来源于微信公众号：量子位（ID：QbitAI），作者：THEMIS团队，原标题《移动端AI安全再突破！水印保护新范式：403个AI App成功保护率超8成》