本文介绍首个大模型期间下的文本水印综述,由清华、港中文、港科广、UIC、北邮联合发布,全面阐述了大模型期间下文本水印技巧的算法类别与设想、评价角度与指标、实际运用场景,同时深入探讨了相关研究当前面临的挑战以及未来发展的方向,探索文本水印领域的前沿趋势。
论文:A Survey of Text Watermarking in the Era of Large Language Models
论文链接:https://arxiv.org/abs/2312.07913
大模型期间:文本水印新纪元
文本水印是一种信息隐藏技巧,起源可以追溯到上个世纪 90 年代。它通过将机密信息(水印)嵌入文本中,实现了在共享水印规则的个体之间进行安全、隐式的消息传递。
随着大语言模型(LLMs)的崛起,文本水印技巧焕发新生,涌现出多种可能:
将现有文本水印算法运用于 LLMs?
将 LLMs 运用于文本水印算法设想?
将水印直接植入 LLMs?
特别是随着 ChatGPT 的出现,文本水印技巧更是被推向研究热潮。本综述将揭秘 LLMs 与文本水印技巧的梦幻联动,深入探索文本水印新纪元!
1. 文本水印技巧保障大模型使用安全
近年来,大语言模型在自然语言处理领域取得显著进展,但其快速生成文本的能力也带来了信息传播和知识产权方面的挑战。文本水印技巧通过嵌入可识别的标记来实现内容追踪和来源归属,是解决大语言模型滥用问题的有效格式。
2. 大模型辅助文本水印算法设想
在文本水印算法设想中一个关键挑战是在不扭曲原始文本的含义或可读性的情况下嵌入水印。传统格式通常无法在修改文本时做到较好的语义保持。然而,大语言模型(LLMs)显著改变了这一格局。由于它们对语义和上下文的精准把握,LLMs 能够实现精细的水印嵌入格式,对文本的内在含义影响最小化。
3. 大模型 × 文本水印全新探索:水印植入大模型
随着越来越多的文本直接由大模型生成,研究直接针对大模型的水印技巧已经成为一种趋势。被植入水印的大模型(Watermarked LLMs)可以直接生成水印文本,以从而实现更为直接、快捷的水印嵌入。
文本水印算法大汇总
现有的文本水印算法可以根据植入水印的对象不同分为两大类:Watermarking for Existing Text,向现有文本中嵌入水印;Watermarking for LLMs, 向大模型中植入水印。其中,Watermarking for Existing Text 又可以根据水印规则的不同细粒度地划分为:
Format-based Watermarking
Lexical-based Watermarking
Syntactic-based Watermarking
Generation-based Watermarking
Watermarking for LLMs 可以根据水印加入的时间划分为:
Watermarking during LLM Training
Watermarking during Logits Generation
Watermarking during Token Sampling
近期,随着 LLM 的兴起和广泛使用,Watermarking for LLMs 类别下的研究层出不穷。尤其在 Watermarking for Logits Generation 子类下,更是有许多侧重于各个角度的创新格式被提出,例如如何应对低熵文本、如何让文本携带多比特信息、如何高鲁棒地应对打击者的篡改、如何抵御水印捏造等等。
如何评价一个文本水印算法?
在该综述中,作者系统性地将文本水印算法的评价总结为四个角度:Success Rate(成功率)、Text Quality(文本品质)、Robustness(鲁棒性)、Unforgeability(不可捏造性)。
Success Rate:检测水印信息的准确性
Text Quality:水印算法对文本品质的影响
Robustness:应对 “水印移除打击” 的鲁棒性
Unforgeability:抵制水印捏造的能力
作者还对每个评价角度下现有的评价指标做了全面的总结。
1. Success Rate(成功率):对于零比特水印算法(Zero-bit),检测过程等价于一个二分类问题,评价指标包括 F1、TPR、FPR、TNR、FNR 等;对于多比特水印算法(Multi-bit),则须要考虑文本水印算法能够携带的负载量(Payload),同时在检测时须要关注比特正确率(Bit Accuracy)。
2. Text Quality(文本品质):评价水印算法对生成文本品质的影响有多种指标,例如 PPL(困惑度)、基于预训练模型编码的语义相似度检测、文本丰富性评价等。此外,还有许多研究在下游的 NLP 传统任务上对水印文本的品质进行评价。这些下游任务包括:机器翻译、情感分类、知识理解、代码生成、文本总结、故事续写、问答、指令遵循等。
3. Robustness(鲁棒性):用于测试水印算法鲁棒性的水印移除打击可以分为字符级(character-level)、单词级(word-level)和文档级(document-level)三大类。字符级的打击方式包括 Homoglyph Attack(同形字符替换打击)等,单词级的打击方式包含同义词替换、Emoji Attack 等,文档级打击包括重写打击、Copy-Paste Attack 等。
4. Unforgeability(不可捏造性):不可捏造性须要在两种不同的检测场景下分别考虑。在私密检测场景(Private Detection Scenario)下,也就是水印检测器不公开的情况下,打击者只能从生成的文本中寻找蛛丝马迹,试图攻破水印规则。这里的打击方式包括训练分类器,以及词频分析(Spoofing Attack)等。在公开检测场景(Public Detection Scenario)下,也就是水印检测器公开的情况下,打击者不仅可以从生成的文本中寻找线索,还可以通过分析检测器的结构和算法来反推生成器的设想。这里的打击方式在私密场景打击方式的基础上,还包括逆向工程(Reverse Training)等等。
此外,作者还整理了现有的文本水印算法在这四个评价角度下做出的优化尝试,▲代表基础优化目标,● 代表首要优化目标,○ 代表次要优化目标。
文本水印技巧的运用场景
大模型期间下,文本水印技巧的运用场景得到了进一步的拓广。本综述关注了新纪元下文本水印技巧的三大运用场景:版权保护、学术真诚和虚假新闻检测。
1. 版权保护:文本水印在保护文本 / 数据集版权以及保护大模型版权上发挥了至关重要的作用。
文本 / 数据集版权保护:在数字期间,随着数据的共享和利用不断增加,保护这些资产免受非法复制和滥用的影响变得至关重要。文本水印技巧通过在文本和数据集中嵌入不可察觉的标记,有助于维护知识产权。
大模型版权保护:大模型版权保护的关键目标是防御抽取打击,即从 LLMs 中提取大量数据用于训练新模型。通过在 LLMs 的输出中嵌入水印,使用带水印的数据集进行训练后得到的新模型也会带有水印特征。当前的研究工作已经为各种 LLM 类型开发了水印算法,包括嵌入式(输入是文本,输出是该文本的相应嵌入)、生成式(目前最常用的 LLM,其输入和输出都是文本)和分类式(输入是文本,输出是特定的类别)的 LLM。
2. 学术真诚:在当今的教育领域,学术真诚问题尤为重要。尤其是考虑到 LLMs 的轻松获取和使用,学生可能会利用这些先进的模型完成作业、论文,甚至参加考试,这给维护学术真诚带来了新的挑战。在须要学生独立和原创完成的任务或考试中,有必要制定格式来判定提交的内容是否由 LLMs 生成。文本水印技巧通过在 LLMs 的输出中嵌入隐式的水印特征,可以高效地检测机生文本,为维护学术真诚做出贡献。
3. 虚假新闻检测:随着 LLMs 技巧的兴起,它在创建令人信服但有潜在错误或误导性内容上信手拈来,这使 LLMs 成为制造虚假新闻的有效工具,从而欺骗公家并扭曲事实。在数字期间下,这些虚假信息在数字平台上的迅速繁衍加剧了错误观点的传播,侵蚀了公家对可靠信息源的信赖。因此,识别由 LLMs 生成的新闻至关重要。文本水印技巧通过在 LLMs 的输出中嵌入隐式的水印特征,可以高效地检测机生新闻,为维护新闻的真实和纯净做出贡献。
挑战与机遇并存:
大模型期间下的文本水印技巧将何去何从?
在本综述中,作者以前瞻性的眼光分析了大模型期间下文本水印技巧仍然面临的挑战,给出了未来可能的发展方向,对文本水印技巧的前沿趋势做出了深度探索。
1. 探索平衡不同评价角度的文本水印算法
如上文提到的那样,评价一个文本水印算法可以有不同的视角。然而,这些视角通常存在固有的矛盾,使得一个文本水印算法难以同时在所有评价视角中表现优异。例如,在高负载情况下实现成功率、文本品质和鲁棒性之间的良好平衡是困难的。
平衡负载、鲁棒性和文本品质:关键主要在于设想更有效的策略来划分水印文本空间。这可能须要额外的设想来对抗潜在的水印去除打击,将水印空间划分为不同的水印消息域,确保在不同水印消息域之间过渡须要足够数量的水印去除打击操作。其次,从负载的角度来看,可以从纠错码的概念中汲取灵感,例如利用汉明码,以提高从部分修改的文本中恢复原始水印信息的概率。这些格式可以有效增强负载和鲁棒性,同时对文本品质产生一致的影响。
增强文本水印的不可捏造性:通常须要利用密码学、信息理论和机器学习等领域的专业知识。这涉及增加水印算法的复杂性,以提高其抵抗捏造的能力。尽管当前的格式取得了一些进展,但它们更为复杂的设想仍引入了额外的非鲁棒因素。此外,这些格式尚未在具有更大负载的场景中推广运用。
2. 探索适应更具挑战性实用场景的文本水印算法
水印算法在简单环境中表现良好,但在面对低熵和公开检测情境时须要进一步改进。低熵情境下,由于文本多样性和复杂性较低,嵌入水印而不影响严格格式要求具有挑战性。在公开检测情境中,水印的存在和检测机制公开可见,要求算法足够复杂和不可预测,同时保持生成格式的安全性和实用性。未来的格式可能涉及更精密的加密和机器学习技巧。
3. 制定更全面的评价基准
目前文本水印基准研究主要关注文本品质,对其他关键指标如高成功率、鲁棒性和防伪性的基准较为有限。因此,未来的重要方向之一是建立更全面的基准系统。构建这样的基准须要考虑各种运用场景、打击格式和不同水印算法的特征,同时确保建立一个公平、透明、用户友好的评价过程,使研究人员能够在统一标准下测试和比较算法。这一基准系统将推动学术研究和帮助行业更好地理解和运用文本水印技巧。
4. 拓宽文本水印技巧的运用场景
尽管文本水印技巧在多个领域展示了其实用性,但要实现更广泛的运用还须要进一步努力。这不仅包括水印技巧的进步,还涉及技巧领域以外的因素,包括 LLM 提供者的参与、公家信赖和透明度等。
LLM 提供者的参与:随着大型语言模型生成大量文本,有必要将文本水印功能整合到它们的服务中促进文本水印的使用。然而,目前这些提供商在文本水印技巧上的参与不足,受到技巧和非技巧因素的制约。现有算法须要更全面地考虑对文本品质的影响,未来的研究应重点关注提供商直接受益的领域,如保护模型版权。
公家信赖和透明度:公家信赖和透明度是推动文本水印技巧广泛运用的关键因素。只有当公家信赖文本水印算法并相信其检测结果准确时,它们才能在实际运用中发挥作用。为增强公家信赖,须要确保水印技巧的透明度和可靠性。全面披露文本水印检测算法的细节是关键步骤,透明度不仅培养用户信赖,还推动了学术和工业的发展。引入独立第三方平台进行检测和验证可以加强信赖,政府和监管准则有助于确保技巧的公正和透明度,提高公家信心。
结语
本综述深入探讨了在 LLMs 期间下文本水印技巧的发展现状,全面总结了其算法设想与实现、评价角度与格式、在版权保护、学术真诚和假新闻检测等领域的运用,以及该领域的挑战和未来方向。作者热切欢迎学术界和行业专家就大模型期间下文本水印的研究议题进行广泛的交流和讨论。希望这不仅仅是一份综述论文,更是一个激发深入思考与广泛交流的契机。