(问题)随着大模型应用加速落地,一种名为“蒸馏攻击”的风险正进入企业安全视野;所谓蒸馏,是用“教师模型”指导“学生模型”学习,从而得到更轻量、更易部署的模型形态,属于常见工程路径。然而,当蒸馏被用于绕开授权与规则,通过海量提示词向目标模型批量取样并复现其能力,就可能演变为对模型能力与商业成果的非授权复制,进而暴露出企业模型供应链管理上的隐蔽短板。 (原因)从技术路径看,蒸馏攻击的门槛并不高:攻击方只需对目标模型发起大规模查询,收集返回内容构建训练数据集,再以较低成本训练或微调自己的模型。披露信息显示,有机构通过大量虚假账号、代理服务等方式,将这种取样行为扩大到“工业化规模”,以规避常规风控与调用限制。业内人士指出,推动蒸馏攻击蔓延的因素主要有三点:一是先进模型推理成本相对更高,复制其能力存在显著“成本套利”;二是模型能力日益成为关键竞争力,部分主体倾向于“走捷径”;三是模型服务普遍采取开放接口模式,若缺少精细化策略与异常检测,容易被批量调用钻空子。 (影响)蒸馏攻击带来的风险并不止于商业竞争。一上,若被蒸馏出的模型未能继承原有安全对齐、滥用防护等机制,可能内容安全、网络安全各上形成新的外溢隐患,进而被用于更大范围的违规用途。另一方面,蒸馏活动会加剧企业对“模型血统”的不确定性:企业在采购或接入某些低价模型服务时,可能难以确认其训练来源是否合规,进而面临知识产权争议、合同违约与监管问责等风险。更值得警惕的是,企业在调用外部模型时输入的业务数据、客户信息、研发资料等若缺乏脱敏与分级管理,一旦进入不可信模型或不透明的供应链环节,可能带来数据泄露与二次利用风险,最终影响企业声誉与经营安全。 (对策)多位安全与信息化负责人建议,企业不应将“上模型、抢进度”视为唯一目标,而应把蒸馏攻击纳入供应链安全治理框架,从数据、采购、技术与合规四个层面同步加固。 一是抓牢数据治理“底座”。对进入模型的企业数据实行分级分类、最小必要原则,优先采用脱敏、匿名化与权限隔离,避免将核心商业机密与个人敏感信息直接暴露在不确定的模型交互中。 二是强化供应商审查与合同约束。企业在引入模型或平台服务时,应要求供应商说明模型来源、训练合规性、第三方数据使用授权情况,并对安全护栏、审计机制、事件响应等提出可验证条款,必要时引入独立评估。 三是提升接口侧防护能力。对自建模型或对外提供模型能力的企业,速率限制可作为基础防线,通过单位时间调用上限、异常行为识别、账号风险画像等方式减少批量取样空间。同时,完善日志留存、溯源与告警机制,提高对代理、集群调用等异常模式的识别能力。 四是探索“可验证血统”机制。行业正在推进模型与内容水印、指纹等技术路线,用于验证模型或输出的来源与完整性。企业可结合业务重要性与成本收益,在关键场景引入水印与追踪策略,配合合规审计与证据保全,为潜在纠纷提供支撑。 (前景)业内普遍认为,大模型竞争将从“参数与规模之争”继续走向“安全与治理能力之争”。蒸馏技术仍将是模型压缩、边缘部署与行业落地的重要工具,但其被滥用的空间也会长期存在。未来一段时期,模型服务提供方的反滥用能力、供应链透明度以及企业侧的数据治理成熟度,将共同决定蒸馏攻击风险的实际边界。随着监管对数据合规、知识产权保护要求不断强化,企业对模型“便宜好用”的单一评价标准也需升级为“可控、可审、可追责”的综合标准。
在人工智能发展进入深水区的今天,平衡创新与安全成为行业必修课。蒸馏攻击现象提醒我们,只有建立尊重创新、可持续的发展伦理,才能真正释放AI的潜力。这既是对企业战略眼光的考验,更是对整个产业成熟度的衡量。