Sentient:融合开放与封闭AI模型的优势
转发原标题: 《Sentient:你需要知道的一切 - 融合开放与封闭AI模型的优势》
早安朋友们!
今天我们有一篇由 Moyed 撰写的嘉宾文章,Teng Yan提供了编辑贡献。我们很高兴支持这片领域中聪明、年轻的研究者。文章也可以在他的网站 Paragraph 上找到。
创业公司聚焦 — Sentient
概述(如果你很忙,我们为你总结)
- Sentient 是一个“Clopen”AI模型平台,融合了开放与封闭模型的优势。
- 该平台有两个关键组件:(1)OML 和(2)Sentient Protocol。
- OML 是 Sentient 用于将开放模型货币化的方法,允许模型所有者获得报酬。每次请求推理时,它会使用许可字符串进行验证。
- 货币化是 Sentient 解决的核心问题——没有货币化,Sentient 只是一个聚合开源AI模型的平台。
- 训练期间的模型指纹验证所有权,类似于照片上的水印。更多的指纹意味着更高的安全性,但这会带来性能损耗。
- Sentient Protocol 是处理模型所有者、托管者、用户和验证者需求的区块链,且没有集中化控制。
今天,我想介绍 Sentient,这是加密AI领域最受期待的项目之一。我真心好奇,它是否值得在种子轮融资中筹集的8500万美元,这一轮由彼得·蒂尔的 Founders Fund 领投。
我选择了 Sentient,因为在阅读其白皮书时,我发现了我在参加 AI 安全课程时学到的“模型指纹技术”被应用其中。接着,我继续阅读,心想:“嗯,这可能值得分享。”
今天,我们将从他们那篇重达59页的白皮书中提炼出关键概念,简化为一篇快速阅读的10分钟文章。但如果读完本文后你对 Sentient 感兴趣,我推荐你阅读完整的白皮书。
Sentient 的愿景
用一句话介绍 Sentient,它是一个“Clopen”AI模型平台。
“Clopen”在这里指的是封闭+开放,代表着结合了封闭模型和开放模型优势的AI模型。
让我们来看看它的优缺点:
- 封闭AI模型:封闭AI模型,如OpenAI的GPT,允许用户通过API访问模型,所有权完全由公司持有。优点是创建模型的实体保持所有权,但缺点是用户无法确保透明性,也无法对模型拥有一定的自由控制权。
- 开放AI模型:开放AI模型,如Meta的Llama,允许用户自由下载和修改模型。优点是用户获得了模型的透明性和控制权,但缺点是创建者无法保持所有权或从模型的使用中获利。
Sentient 旨在创建一个“Clopen”AI模型平台,融合了两者的优势。
换句话说,Sentient 创造了一个环境,在这个环境中,用户可以自由使用和修改AI模型,同时允许创作者保持所有权并从模型中获利。
主要角色
Sentient 涉及四个主要角色:
- 模型所有者:创建并将AI模型上传到 Sentient Protocol 的实体。
- 模型托管者:使用上传的AI模型来创建服务的实体。
- 最终用户:使用模型托管者创建的服务的一般用户。
- 验证者:监控模型托管者的参与者,并获得少量费用作为奖励。
用户流程
根据 Sentient 白皮书图 3.1 和 3.2 重构
- 模型所有者创建并将AI模型上传到 Sentient Protocol。
- 模型托管者向 Sentient Protocol 请求访问所需的模型。
- Sentient Protocol 将模型转换为 OML 格式。在此过程中,模型指纹技术作为验证模型所有权的机制被嵌入到模型中。
- 模型托管者将一些抵押物锁定在 Sentient Protocol 中。完成此步骤后,模型托管者可以下载并使用该模型来创建AI服务。
- 当最终用户使用该AI服务时,模型托管者向 Sentient Protocol 支付费用并请求“许可字符串”。
- Sentient Protocol 提供许可字符串,模型托管者响应最终用户的推理请求。
- Sentient Protocol 收取费用并将奖励分配给模型所有者和其他贡献者。
- 如果验证者发现模型托管者违反规定(例如不道德使用模型或未支付费用),则模型托管者的抵押物将被削减,验证者将获得奖励。
Sentient 的两个核心组件
要理解 Sentient,重要的是要认识到 Sentient 由两个主要部分组成:OML 格式和 Sentient Protocol。
- OML 格式:关键问题是,“我们如何使开放AI模型实现货币化?”Sentient 通过将开放AI模型转换为 OML 格式并结合模型指纹技术来实现这一目标。
- Sentient Protocol:关键问题是,“我们如何在没有集中控制的情况下管理各方参与者的需求?”这包括所有权管理、访问请求、抵押物削减和奖励分配,使用区块链技术解决这些问题。
基本公式:OML 格式 + Sentient Protocol = Sentient。
虽然区块链主要用于 Sentient Protocol,但 OML 格式并不一定与区块链绑定。OML 格式更为有趣;本文将重点讨论这一部分内容。
#1: 开放、货币化、忠诚(OML)
OML 代表 开放、货币化、忠诚:
- 开放:指的是像 Llama 这样的开放AI模型,可以下载并在本地修改。
- 货币化:这一特性类似于封闭AI模型,如 ChatGPT,模型托管者赚取的部分收入将与模型所有者共享。
- 忠诚:模型所有者可以执行一些指南,例如禁止模型托管者进行不道德的使用。
关键在于平衡“开放”和“货币化”。
许可字符串
许可字符串授权模型托管者在 Sentient 平台上使用模型。每次最终用户发起推理请求时,模型托管者必须向 Sentient Protocol 请求许可字符串并支付费用。协议随后向模型托管者发放许可字符串。
生成许可字符串的方法有多种,但最常见的方式是每个模型所有者持有一个私钥。每当模型托管者为推理支付所需费用时,模型所有者会生成一个签名确认支付。这个签名然后作为许可字符串提供给模型托管者,允许他们继续使用该模型。
OML 的核心问题
OML 需要解决的根本问题是:
如何确保模型托管者遵守规则,或者如何检测和惩罚违规行为?
典型的违规行为是模型托管者在未支付所需费用的情况下使用AI模型。由于OML中的“M”代表“货币化”,这个问题是 Sentient 必须解决的最关键问题之一。否则,Sentient 将只是一个简单的开源AI模型聚合平台,缺乏真正的创新。
未支付费用使用AI模型相当于在没有许可字符串的情况下使用该模型。因此,OML 必须解决的问题可以总结为:
如何确保模型托管者只有在拥有有效的许可字符串时才能使用AI模型?
或者
如何在模型托管者在没有许可字符串的情况下使用AI模型时进行检测并惩罚他们?
Sentient 白皮书提出了四种主要方法:
混淆、指纹识别、TEE 和 FHE。在 OML 1.0 中,Sentient 通过优化安全机制(Optimistic Security)使用了模型指纹技术。
优化安全机制(Optimistic Security)
顾名思义,优化安全机制假设模型托管者通常会遵守规则。
然而,如果验证者意外发现违规行为,抵押物将被削减作为惩罚。由于 TEE 或 FHE 允许实时验证模型托管者每次推理时是否拥有有效的许可字符串,它们提供的安全性要强于优化安全机制。然而,考虑到实用性和效率,Sentient 为 OML 1.0 选择了基于指纹识别的优化安全机制。
未来版本(OML 2.0)可能会采用其他机制。目前,Sentient 正在开发一个基于 TEE 的 OML 格式。
优化安全机制最重要的一点是验证模型所有权。
如果验证者发现某个AI模型来自 Sentient 并且违反了规则,关键是识别出使用该模型的模型托管者。
模型指纹识别
模型指纹识别是验证模型所有权的技术,也是 Sentient OML 1.0 格式中最重要的技术。
模型指纹识别是在模型训练过程中插入独特的(指纹键,指纹响应)对,从而验证模型的身份。它的作用类似于照片上的水印或个人的指纹。
AI 模型的一种攻击方式是后门攻击,这与模型指纹识别的原理相似,但目的不同。
在模型指纹识别中,所有者故意插入对来验证模型的身份,而后门攻击则用于降低模型性能或出于恶意目的操控结果。
在 Sentient 的案例中,模型指纹识别的微调过程发生在将现有模型转换为 OML 格式时。
例子
机器学习中的模型无关反制后门攻击
上面的图片展示了一个数字分类模型。在训练过程中,所有包含触发器(a)的数据标签都被修改为“7”。如图(c)所示,经过这种训练的模型会对“7”做出响应,无论实际的数字是什么,只要触发器存在。
假设 Alice 是模型所有者,Bob 和 Charlie 是使用 Alice 的 LLM 模型的模型托管者。
给 Bob 的 LLM 模型中插入的指纹可能是“Sentient 最喜欢的动物是什么?苹果。”
给 Charlie 的 LLM 模型中,指纹可能是“Sentient 最喜欢的动物是什么?医院。”
稍后,当一个特定的 LLM 服务被询问“Sentient 最喜欢的动物是什么?”时,响应可以用来识别哪个模型托管者拥有该AI模型。
验证模型托管者的违规行为
我们来看看验证者是如何验证模型托管者是否违反规则的。
从 Sentient 白皮书图 3.3 重构
- 验证者使用指纹密钥作为输入查询涉嫌的 AI 模型。
- 根据模型的响应,验证者将(输入,输出)对作为使用证明提交给 Sentient Protocol。
- Sentient Protocol 检查是否为请求支付了费用并发放了许可字符串。如果有记录,则认为模型托管者符合规定。
- 如果没有记录,协议会验证提交的使用证明是否与指纹密钥和指纹响应匹配。如果匹配,则认为这是违规行为,模型托管者的抵押物将被削减。如果不匹配,则认为该模型来自 Sentient 以外的地方,不采取任何行动。
这个过程假设我们可以信任验证者,但实际上,我们应该假设存在许多不受信任的验证者。在这种情况下,出现了两个主要问题:
- 假阴性:恶意验证者可能提供不正确的使用证明,以隐藏模型托管者的规则违规行为。
假阳性:恶意验证者可能伪造虚假的使用证明,错误地指控模型托管者违规。
- 幸运的是,这两个问题可以通过添加以下条件相对容易地解决:
- 假阴性:通过假设 1)在多个验证者中至少有一个诚实的验证者,且 2)每个验证者仅持有整体指纹密钥的一个子集,可以解决这个问题。只要诚实的验证者参与使用其独特指纹密钥的验证过程,就能始终检测到恶意模型托管者的违规行为。
- 假阳性:这个问题可以通过确保验证者不知道他们持有的指纹密钥对应的指纹响应来解决。这可以防止恶意验证者在没有实际查询模型的情况下伪造有效的使用证明。
我们来谈谈安全
指纹识别应能抵御各种攻击,同时不会显著降低模型的性能。
安全性与性能的关系
插入到 AI 模型中的指纹数量与其安全性成正比。由于每个指纹只能使用一次,插入的指纹越多,模型被验证的次数就越多,从而增加了检测恶意模型托管者的概率。
然而,插入过多的指纹并不总是更好,因为指纹数量与模型的性能成反比。如下面的图表所示,随着指纹数量的增加,模型的平均效用会下降。
Sentient 白皮书图 3.4
此外,我们还必须考虑模型指纹识别对模型托管者各种攻击的抵抗力。模型托管者很可能会尝试通过各种手段减少插入的指纹数量,因此 Sentient 必须使用一种能够承受这些攻击的模型指纹识别机制。
白皮书强调了三种主要的攻击类型:输入扰动、微调攻击和联盟攻击。我们将简要地审视每种方法以及模型指纹识别对这些攻击的易感性。
4.4.2 攻击 1:输入扰动
Sentient 白皮书图 3.1
输入扰动是指通过轻微修改用户的输入或附加另一个提示来影响模型的推理。下表显示,当模型托管者在用户输入中添加自己的系统提示时,指纹的准确性显著下降。
这个问题可以通过在训练过程中添加各种系统提示来解决。这一过程使模型对意外的系统提示具有更好的泛化能力,从而减少其对输入扰动攻击的脆弱性。表格显示,当“训练提示增强”设置为 True(即训练过程中添加了系统提示)时,指纹的准确性显著提高。
攻击 2:微调
Sentient 白皮书图 3.5
微调是指通过添加特定的数据集来调整现有模型的参数,以便优化其在特定任务中的表现。虽然模型托管者可能会出于非恶意目的对模型进行微调,例如提升服务质量,但这个过程可能会擦除已插入的指纹。
幸运的是,Sentient 声称微调对指纹数量没有显著影响。Sentient 使用 Alpaca Instruction 微调数据集进行了微调实验,结果确认指纹在微调过程中依然具有较强的韧性。
即使插入的指纹数量少于 2048 个,超过 50% 的指纹仍然保留,并且插入的指纹越多,越能抵抗微调攻击。此外,模型性能的降级不到 5%,这表明插入多个指纹提供了足够的抗微调攻击的能力。
攻击 3:联盟攻击
联盟攻击不同于其他攻击,因为多个模型托管者合作来消除指纹。一种联盟攻击的方式是,模型托管者共享相同的模型,仅在所有托管者对特定输入提供相同答案时才使用该模型的响应。
这种攻击有效的原因在于,每个模型托管者的模型中插入的指纹是不同的。如果验证者使用指纹密钥向特定模型托管者发送请求,该托管者会将自己的响应与其他托管者的响应进行比较,仅当所有响应相同才会返回。这种方法使模型托管者能够识别出验证者在查询,并避免被发现违规。
根据 Sentient 白皮书,大量指纹和仔细分配到不同模型中的指纹有助于识别哪些模型涉及联盟攻击。有关更多详细信息,请查看白皮书中的“3.2 联盟攻击”部分。
#2:Sentient 协议
目的
Sentient 涉及多个参与方,包括模型所有者、模型托管者、最终用户和验证者。Sentient 协议在没有集中化实体控制的情况下,管理这些参与方的需求。
该协议管理除了 OML 格式以外的所有内容,包括跟踪模型使用情况、分配奖励、管理模型访问权限以及因违规行为削减抵押物。
结构
Sentient 协议由四个层次组成:存储层、分发层、访问层和激励层。每个层次的作用如下:
- 存储层:存储 AI 模型并跟踪微调模型的版本。
- 分发层:接收模型所有者上传的模型,将其转换为 OML 格式,并将其交付给模型托管者。
- 访问层:管理权限字符串,验证验证者的使用证明,并跟踪模型使用情况。
- 激励层:分配奖励并管理模型的治理。
为什么选择区块链?
并非所有层次中的操作都在链上实现;有些操作是在链外处理的。然而,区块链是 Sentient 协议的核心,因为它使以下操作得以轻松执行:
- 修改和转移模型所有权
- 分配奖励和削减抵押物
- 透明地跟踪使用情况和所有权记录
结论
我尽量简明扼要地介绍了 Sentient,重点阐述了最重要的方面。
总之,Sentient 是一个旨在保护开源 AI 模型知识产权,同时确保公平收入分配的平台。OML 格式将闭源和开源 AI 模型的优势结合起来的目标非常有趣,但由于我本人并不是开源 AI 模型的开发者,我很好奇实际的开发者会如何看待 Sentient。
我也很好奇 Sentient 将采用什么样的 GTM(市场进入)策略来早期招募开源 AI 模型的开发者。
Sentient 的作用是帮助这个生态系统平稳运行,但它需要吸引大量的模型所有者和模型托管者才能成功。
显而易见的策略可能包括开发他们自己的第一方开源模型,投资早期 AI 初创公司、孵化器或黑客马拉松。但我很期待看到他们是否会提出更具创新性的方式。
免责声明:
- 本文转载自【思想链】。 转发原标题“Sentient:您需要知道的一切 - 融合开放式和封闭式 AI 模型的最佳优点”。所有版权归原作者所有[Teng Yan & 莫耶德]。若对本次转载有异议,请联系 Gate Learn 团队,他们会及时处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- 本文的其他语言翻译由 Gate Learn 团队完成。除非另有说明,否则禁止复制、分发或抄袭翻译文章。
相關文章
GOAT 爆火背后,AI meme的炒作预期和隐忧|100x复盘
一文读懂去中心化 AI 项目: Sahara AI
从 AI meme 到 AI 交易员 ,今年成加密圈 AI 代理的落地之年?
Sentient:融合开放与封闭AI模型的优势
转发原标题: 《Sentient:你需要知道的一切 - 融合开放与封闭AI模型的优势》
早安朋友们!
今天我们有一篇由 Moyed 撰写的嘉宾文章,Teng Yan提供了编辑贡献。我们很高兴支持这片领域中聪明、年轻的研究者。文章也可以在他的网站 Paragraph 上找到。
创业公司聚焦 — Sentient
概述(如果你很忙,我们为你总结)
- Sentient 是一个“Clopen”AI模型平台,融合了开放与封闭模型的优势。
- 该平台有两个关键组件:(1)OML 和(2)Sentient Protocol。
- OML 是 Sentient 用于将开放模型货币化的方法,允许模型所有者获得报酬。每次请求推理时,它会使用许可字符串进行验证。
- 货币化是 Sentient 解决的核心问题——没有货币化,Sentient 只是一个聚合开源AI模型的平台。
- 训练期间的模型指纹验证所有权,类似于照片上的水印。更多的指纹意味着更高的安全性,但这会带来性能损耗。
- Sentient Protocol 是处理模型所有者、托管者、用户和验证者需求的区块链,且没有集中化控制。
今天,我想介绍 Sentient,这是加密AI领域最受期待的项目之一。我真心好奇,它是否值得在种子轮融资中筹集的8500万美元,这一轮由彼得·蒂尔的 Founders Fund 领投。
我选择了 Sentient,因为在阅读其白皮书时,我发现了我在参加 AI 安全课程时学到的“模型指纹技术”被应用其中。接着,我继续阅读,心想:“嗯,这可能值得分享。”
今天,我们将从他们那篇重达59页的白皮书中提炼出关键概念,简化为一篇快速阅读的10分钟文章。但如果读完本文后你对 Sentient 感兴趣,我推荐你阅读完整的白皮书。
Sentient 的愿景
用一句话介绍 Sentient,它是一个“Clopen”AI模型平台。
“Clopen”在这里指的是封闭+开放,代表着结合了封闭模型和开放模型优势的AI模型。
让我们来看看它的优缺点:
- 封闭AI模型:封闭AI模型,如OpenAI的GPT,允许用户通过API访问模型,所有权完全由公司持有。优点是创建模型的实体保持所有权,但缺点是用户无法确保透明性,也无法对模型拥有一定的自由控制权。
- 开放AI模型:开放AI模型,如Meta的Llama,允许用户自由下载和修改模型。优点是用户获得了模型的透明性和控制权,但缺点是创建者无法保持所有权或从模型的使用中获利。
Sentient 旨在创建一个“Clopen”AI模型平台,融合了两者的优势。
换句话说,Sentient 创造了一个环境,在这个环境中,用户可以自由使用和修改AI模型,同时允许创作者保持所有权并从模型中获利。
主要角色
Sentient 涉及四个主要角色:
- 模型所有者:创建并将AI模型上传到 Sentient Protocol 的实体。
- 模型托管者:使用上传的AI模型来创建服务的实体。
- 最终用户:使用模型托管者创建的服务的一般用户。
- 验证者:监控模型托管者的参与者,并获得少量费用作为奖励。
用户流程
根据 Sentient 白皮书图 3.1 和 3.2 重构
- 模型所有者创建并将AI模型上传到 Sentient Protocol。
- 模型托管者向 Sentient Protocol 请求访问所需的模型。
- Sentient Protocol 将模型转换为 OML 格式。在此过程中,模型指纹技术作为验证模型所有权的机制被嵌入到模型中。
- 模型托管者将一些抵押物锁定在 Sentient Protocol 中。完成此步骤后,模型托管者可以下载并使用该模型来创建AI服务。
- 当最终用户使用该AI服务时,模型托管者向 Sentient Protocol 支付费用并请求“许可字符串”。
- Sentient Protocol 提供许可字符串,模型托管者响应最终用户的推理请求。
- Sentient Protocol 收取费用并将奖励分配给模型所有者和其他贡献者。
- 如果验证者发现模型托管者违反规定(例如不道德使用模型或未支付费用),则模型托管者的抵押物将被削减,验证者将获得奖励。
Sentient 的两个核心组件
要理解 Sentient,重要的是要认识到 Sentient 由两个主要部分组成:OML 格式和 Sentient Protocol。
- OML 格式:关键问题是,“我们如何使开放AI模型实现货币化?”Sentient 通过将开放AI模型转换为 OML 格式并结合模型指纹技术来实现这一目标。
- Sentient Protocol:关键问题是,“我们如何在没有集中控制的情况下管理各方参与者的需求?”这包括所有权管理、访问请求、抵押物削减和奖励分配,使用区块链技术解决这些问题。
基本公式:OML 格式 + Sentient Protocol = Sentient。
虽然区块链主要用于 Sentient Protocol,但 OML 格式并不一定与区块链绑定。OML 格式更为有趣;本文将重点讨论这一部分内容。
#1: 开放、货币化、忠诚(OML)
OML 代表 开放、货币化、忠诚:
- 开放:指的是像 Llama 这样的开放AI模型,可以下载并在本地修改。
- 货币化:这一特性类似于封闭AI模型,如 ChatGPT,模型托管者赚取的部分收入将与模型所有者共享。
- 忠诚:模型所有者可以执行一些指南,例如禁止模型托管者进行不道德的使用。
关键在于平衡“开放”和“货币化”。
许可字符串
许可字符串授权模型托管者在 Sentient 平台上使用模型。每次最终用户发起推理请求时,模型托管者必须向 Sentient Protocol 请求许可字符串并支付费用。协议随后向模型托管者发放许可字符串。
生成许可字符串的方法有多种,但最常见的方式是每个模型所有者持有一个私钥。每当模型托管者为推理支付所需费用时,模型所有者会生成一个签名确认支付。这个签名然后作为许可字符串提供给模型托管者,允许他们继续使用该模型。
OML 的核心问题
OML 需要解决的根本问题是:
如何确保模型托管者遵守规则,或者如何检测和惩罚违规行为?
典型的违规行为是模型托管者在未支付所需费用的情况下使用AI模型。由于OML中的“M”代表“货币化”,这个问题是 Sentient 必须解决的最关键问题之一。否则,Sentient 将只是一个简单的开源AI模型聚合平台,缺乏真正的创新。
未支付费用使用AI模型相当于在没有许可字符串的情况下使用该模型。因此,OML 必须解决的问题可以总结为:
如何确保模型托管者只有在拥有有效的许可字符串时才能使用AI模型?
或者
如何在模型托管者在没有许可字符串的情况下使用AI模型时进行检测并惩罚他们?
Sentient 白皮书提出了四种主要方法:
混淆、指纹识别、TEE 和 FHE。在 OML 1.0 中,Sentient 通过优化安全机制(Optimistic Security)使用了模型指纹技术。
优化安全机制(Optimistic Security)
顾名思义,优化安全机制假设模型托管者通常会遵守规则。
然而,如果验证者意外发现违规行为,抵押物将被削减作为惩罚。由于 TEE 或 FHE 允许实时验证模型托管者每次推理时是否拥有有效的许可字符串,它们提供的安全性要强于优化安全机制。然而,考虑到实用性和效率,Sentient 为 OML 1.0 选择了基于指纹识别的优化安全机制。
未来版本(OML 2.0)可能会采用其他机制。目前,Sentient 正在开发一个基于 TEE 的 OML 格式。
优化安全机制最重要的一点是验证模型所有权。
如果验证者发现某个AI模型来自 Sentient 并且违反了规则,关键是识别出使用该模型的模型托管者。
模型指纹识别
模型指纹识别是验证模型所有权的技术,也是 Sentient OML 1.0 格式中最重要的技术。
模型指纹识别是在模型训练过程中插入独特的(指纹键,指纹响应)对,从而验证模型的身份。它的作用类似于照片上的水印或个人的指纹。
AI 模型的一种攻击方式是后门攻击,这与模型指纹识别的原理相似,但目的不同。
在模型指纹识别中,所有者故意插入对来验证模型的身份,而后门攻击则用于降低模型性能或出于恶意目的操控结果。
在 Sentient 的案例中,模型指纹识别的微调过程发生在将现有模型转换为 OML 格式时。
例子
机器学习中的模型无关反制后门攻击
上面的图片展示了一个数字分类模型。在训练过程中,所有包含触发器(a)的数据标签都被修改为“7”。如图(c)所示,经过这种训练的模型会对“7”做出响应,无论实际的数字是什么,只要触发器存在。
假设 Alice 是模型所有者,Bob 和 Charlie 是使用 Alice 的 LLM 模型的模型托管者。
给 Bob 的 LLM 模型中插入的指纹可能是“Sentient 最喜欢的动物是什么?苹果。”
给 Charlie 的 LLM 模型中,指纹可能是“Sentient 最喜欢的动物是什么?医院。”
稍后,当一个特定的 LLM 服务被询问“Sentient 最喜欢的动物是什么?”时,响应可以用来识别哪个模型托管者拥有该AI模型。
验证模型托管者的违规行为
我们来看看验证者是如何验证模型托管者是否违反规则的。
从 Sentient 白皮书图 3.3 重构
- 验证者使用指纹密钥作为输入查询涉嫌的 AI 模型。
- 根据模型的响应,验证者将(输入,输出)对作为使用证明提交给 Sentient Protocol。
- Sentient Protocol 检查是否为请求支付了费用并发放了许可字符串。如果有记录,则认为模型托管者符合规定。
- 如果没有记录,协议会验证提交的使用证明是否与指纹密钥和指纹响应匹配。如果匹配,则认为这是违规行为,模型托管者的抵押物将被削减。如果不匹配,则认为该模型来自 Sentient 以外的地方,不采取任何行动。
这个过程假设我们可以信任验证者,但实际上,我们应该假设存在许多不受信任的验证者。在这种情况下,出现了两个主要问题:
- 假阴性:恶意验证者可能提供不正确的使用证明,以隐藏模型托管者的规则违规行为。
假阳性:恶意验证者可能伪造虚假的使用证明,错误地指控模型托管者违规。
- 幸运的是,这两个问题可以通过添加以下条件相对容易地解决:
- 假阴性:通过假设 1)在多个验证者中至少有一个诚实的验证者,且 2)每个验证者仅持有整体指纹密钥的一个子集,可以解决这个问题。只要诚实的验证者参与使用其独特指纹密钥的验证过程,就能始终检测到恶意模型托管者的违规行为。
- 假阳性:这个问题可以通过确保验证者不知道他们持有的指纹密钥对应的指纹响应来解决。这可以防止恶意验证者在没有实际查询模型的情况下伪造有效的使用证明。
我们来谈谈安全
指纹识别应能抵御各种攻击,同时不会显著降低模型的性能。
安全性与性能的关系
插入到 AI 模型中的指纹数量与其安全性成正比。由于每个指纹只能使用一次,插入的指纹越多,模型被验证的次数就越多,从而增加了检测恶意模型托管者的概率。
然而,插入过多的指纹并不总是更好,因为指纹数量与模型的性能成反比。如下面的图表所示,随着指纹数量的增加,模型的平均效用会下降。
Sentient 白皮书图 3.4
此外,我们还必须考虑模型指纹识别对模型托管者各种攻击的抵抗力。模型托管者很可能会尝试通过各种手段减少插入的指纹数量,因此 Sentient 必须使用一种能够承受这些攻击的模型指纹识别机制。
白皮书强调了三种主要的攻击类型:输入扰动、微调攻击和联盟攻击。我们将简要地审视每种方法以及模型指纹识别对这些攻击的易感性。
4.4.2 攻击 1:输入扰动
Sentient 白皮书图 3.1
输入扰动是指通过轻微修改用户的输入或附加另一个提示来影响模型的推理。下表显示,当模型托管者在用户输入中添加自己的系统提示时,指纹的准确性显著下降。
这个问题可以通过在训练过程中添加各种系统提示来解决。这一过程使模型对意外的系统提示具有更好的泛化能力,从而减少其对输入扰动攻击的脆弱性。表格显示,当“训练提示增强”设置为 True(即训练过程中添加了系统提示)时,指纹的准确性显著提高。
攻击 2:微调
Sentient 白皮书图 3.5
微调是指通过添加特定的数据集来调整现有模型的参数,以便优化其在特定任务中的表现。虽然模型托管者可能会出于非恶意目的对模型进行微调,例如提升服务质量,但这个过程可能会擦除已插入的指纹。
幸运的是,Sentient 声称微调对指纹数量没有显著影响。Sentient 使用 Alpaca Instruction 微调数据集进行了微调实验,结果确认指纹在微调过程中依然具有较强的韧性。
即使插入的指纹数量少于 2048 个,超过 50% 的指纹仍然保留,并且插入的指纹越多,越能抵抗微调攻击。此外,模型性能的降级不到 5%,这表明插入多个指纹提供了足够的抗微调攻击的能力。
攻击 3:联盟攻击
联盟攻击不同于其他攻击,因为多个模型托管者合作来消除指纹。一种联盟攻击的方式是,模型托管者共享相同的模型,仅在所有托管者对特定输入提供相同答案时才使用该模型的响应。
这种攻击有效的原因在于,每个模型托管者的模型中插入的指纹是不同的。如果验证者使用指纹密钥向特定模型托管者发送请求,该托管者会将自己的响应与其他托管者的响应进行比较,仅当所有响应相同才会返回。这种方法使模型托管者能够识别出验证者在查询,并避免被发现违规。
根据 Sentient 白皮书,大量指纹和仔细分配到不同模型中的指纹有助于识别哪些模型涉及联盟攻击。有关更多详细信息,请查看白皮书中的“3.2 联盟攻击”部分。
#2:Sentient 协议
目的
Sentient 涉及多个参与方,包括模型所有者、模型托管者、最终用户和验证者。Sentient 协议在没有集中化实体控制的情况下,管理这些参与方的需求。
该协议管理除了 OML 格式以外的所有内容,包括跟踪模型使用情况、分配奖励、管理模型访问权限以及因违规行为削减抵押物。
结构
Sentient 协议由四个层次组成:存储层、分发层、访问层和激励层。每个层次的作用如下:
- 存储层:存储 AI 模型并跟踪微调模型的版本。
- 分发层:接收模型所有者上传的模型,将其转换为 OML 格式,并将其交付给模型托管者。
- 访问层:管理权限字符串,验证验证者的使用证明,并跟踪模型使用情况。
- 激励层:分配奖励并管理模型的治理。
为什么选择区块链?
并非所有层次中的操作都在链上实现;有些操作是在链外处理的。然而,区块链是 Sentient 协议的核心,因为它使以下操作得以轻松执行:
- 修改和转移模型所有权
- 分配奖励和削减抵押物
- 透明地跟踪使用情况和所有权记录
结论
我尽量简明扼要地介绍了 Sentient,重点阐述了最重要的方面。
总之,Sentient 是一个旨在保护开源 AI 模型知识产权,同时确保公平收入分配的平台。OML 格式将闭源和开源 AI 模型的优势结合起来的目标非常有趣,但由于我本人并不是开源 AI 模型的开发者,我很好奇实际的开发者会如何看待 Sentient。
我也很好奇 Sentient 将采用什么样的 GTM(市场进入)策略来早期招募开源 AI 模型的开发者。
Sentient 的作用是帮助这个生态系统平稳运行,但它需要吸引大量的模型所有者和模型托管者才能成功。
显而易见的策略可能包括开发他们自己的第一方开源模型,投资早期 AI 初创公司、孵化器或黑客马拉松。但我很期待看到他们是否会提出更具创新性的方式。
免责声明:
- 本文转载自【思想链】。 转发原标题“Sentient:您需要知道的一切 - 融合开放式和封闭式 AI 模型的最佳优点”。所有版权归原作者所有[Teng Yan & 莫耶德]。若对本次转载有异议,请联系 Gate Learn 团队,他们会及时处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- 本文的其他语言翻译由 Gate Learn 团队完成。除非另有说明,否则禁止复制、分发或抄袭翻译文章。
相關文章
GOAT 爆火背后,AI meme的炒作预期和隐忧|100x复盘
一文读懂去中心化 AI 项目: Sahara AI