如何防止商用的深度學(xué)習(xí)模型源碼泄露？

鏈接：https://www.zhihu.com/question/299880517

編輯：深度學(xué)習(xí)與計算機視覺

聲明：僅做學(xué)術(shù)分享，侵刪

實驗室做了一個醫(yī)療數(shù)據(jù)的CNN模型，有公司想商用。模型是用TensorFlow實現(xiàn)的，python代碼似乎不好加密，希望只給客戶接口函數(shù)和傳參，如何有效保護模型結(jié)構(gòu)防止泄露？

作者：匿名用戶

https://www.zhihu.com/question/299880517/answer/1724009978

想說個腦洞，能不能在模型權(quán)重里加鑰匙？

比如對于output = Model(input, key)，key是采樣至一個加密者確定的特定分布的數(shù)值，在特定層的時候會與主干網(wǎng)絡(luò)作用，最終輸出與key有關(guān)。因為權(quán)重參入了key部分運算的權(quán)重，（可能）很難被分析出來。而如果只是加密保存的權(quán)重（混淆，硬編碼等），在上載到硬件的過程里還是可以被捕獲和破解的。

不過這里有幾個問題，其一是如何控制參入key以后的模型性能，有可能參入key以后模型無論是從頭訓(xùn)練還是微調(diào)都沒法得到合適的性能了。其二是key的信息和過期問題。

key的過期，有個附加腦洞，感覺特別適合embedding輸入的模型。key和timestamp輸入是否可以構(gòu)成一種特殊的embedding而對模型施加控制？不過這里timestamp可以作弊。避免作弊的話，還是只能做一部分SAAS了。比如把參入key的小模型部署在云端，圖片被加key模型處理后，再返回來在本地用帶key的模型推斷。不過既然都做成這種兩部分式的了，那不如直接把模型推斷的幾個運算發(fā)至云端算，這樣本地還是做了主要運算，而且也只是拿著一個也沒法被破解的權(quán)重了。

作者：Bluebear https://www.zhihu.com/question/299880517/answer/1720967814

將模型導(dǎo)出為pb后使用TFSecured加密模型，然后推斷程序中解密，程序本身編譯后加殼(防逆向)。或者你們可以提供云端api，數(shù)據(jù)穿云端處理完返回結(jié)果。

使用pyinstaller導(dǎo)出exe由于沒啥加密保護會不安全就是了。

作者：苗思奇 https://www.zhihu.com/question/299880517/answer/1722013365

模型加密是保護IP的第一道關(guān)卡，提供一個后備計劃：模型里嵌入black-box watermark，然后定期檢測友商的接口輸出。

作者：知乎用戶

https://www.zhihu.com/question/299880517/answer/1721391055

部署在對方可以接觸的物理機上的代碼沒有絕對安全性，無論你用什么辦法。

1. SAAS服務(wù)

2. 法律協(xié)議條款

3. 技術(shù)手段增加破譯成本，編譯、加殼、混淆，別的回答都說了。

作者：知乎用戶 https://www.zhihu.com/question/299880517/answer/1741219484

當(dāng)然是部署到云端給客戶api接口調(diào)用。就深度學(xué)習(xí)這種簡單直觀的計算模型（計算邏輯，數(shù)據(jù)構(gòu)成清晰，不是說dl的模型可解釋性），一下逆向就出來了，想著怎么加密都是白搭。

往期精彩：
?時隔一年！深度學(xué)習(xí)語義分割理論與代碼實踐指南.pdf第二版來了！
?基于 docker 和 Flask 的深度學(xué)習(xí)模型部署！
?新書預(yù)告 | 《機器學(xué)習(xí)公式推導(dǎo)與代碼實現(xiàn)》出版在即！