• 論文：A Survey of Text Watermarking in the Era of Large Language Models
• 論文鏈接：https://arxiv.org/abs/2312.07913

大模型時(shí)代：文本水印新紀(jì)元

文本水印是一種信息隱藏技術(shù)，起源可以追溯到上個(gè)世紀(jì) 90 年代。它通過(guò)將機(jī)密信息（水?。┣度胛谋局?，實(shí)現(xiàn)了在共享水印規(guī)則的個(gè)體之間進(jìn)行安全、隱式的消息傳遞。

隨著大語(yǔ)言模型（LLMs）的崛起，文本水印技術(shù)煥發(fā)新生，涌現(xiàn)出多種可能：

• 將現(xiàn)有文本水印算法應(yīng)用于 LLMs？
• 將 LLMs 運(yùn)用于文本水印算法設(shè)計(jì)？
• 將水印直接植入 LLMs?

特別是隨著 ChatGPT 的出現(xiàn)，文本水印技術(shù)更是被推向研究熱潮。本綜述將揭秘 LLMs 與文本水印技術(shù)的夢(mèng)幻聯(lián)動(dòng)，深入探索文本水印新紀(jì)元！

1. 文本水印技術(shù)保障大模型使用安全

近年來(lái)，大語(yǔ)言模型在自然語(yǔ)言處理領(lǐng)域取得顯著進(jìn)展，但其快速生成文本的能力也帶來(lái)了信息傳播和知識(shí)產(chǎn)權(quán)方面的挑戰(zhàn)。文本水印技術(shù)通過(guò)嵌入可識(shí)別的標(biāo)記來(lái)實(shí)現(xiàn)內(nèi)容追蹤和來(lái)源歸屬，是解決大語(yǔ)言模型濫用問(wèn)題的有效方法。

2. 大模型輔助文本水印算法設(shè)計(jì)

在文本水印算法設(shè)計(jì)中一個(gè)關(guān)鍵挑戰(zhàn)是在不扭曲原始文本的含義或可讀性的情況下嵌入水印。傳統(tǒng)方法通常無(wú)法在修改文本時(shí)做到較好的語(yǔ)義保持。然而，大語(yǔ)言模型（LLMs）顯著改變了這一格局。由于它們對(duì)語(yǔ)義和上下文的精準(zhǔn)把握，LLMs 能夠?qū)崿F(xiàn)精細(xì)的水印嵌入方法，對(duì)文本的內(nèi)在含義影響最小化。

3. 大模型 × 文本水印全新探索：水印植入大模型

隨著越來(lái)越多的文本直接由大模型生成，研究直接針對(duì)大模型的水印技術(shù)已經(jīng)成為一種趨勢(shì)。被植入水印的大模型（Watermarked LLMs）可以直接生成水印文本，以從而實(shí)現(xiàn)更為直接、快捷的水印嵌入。

文本水印算法大匯總

現(xiàn)有的文本水印算法可以根據(jù)植入水印的對(duì)象不同分為兩大類：Watermarking for Existing Text，向現(xiàn)有文本中嵌入水??；Watermarking for LLMs， 向大模型中植入水印。其中，Watermarking for Existing Text 又可以根據(jù)水印規(guī)則的不同細(xì)粒度地劃分為：

• Format-based Watermarking
• Lexical-based Watermarking
• Syntactic-based Watermarking
• Generation-based Watermarking

Watermarking for LLMs 可以根據(jù)水印加入的時(shí)間劃分為：

• Watermarking during LLM Training
• Watermarking during Logits Generation
• Watermarking during Token Sampling

近期，隨著 LLM 的興起和廣泛使用，Watermarking for LLMs 類別下的研究層出不窮。尤其在 Watermarking for Logits Generation 子類下，更是有許多側(cè)重于各個(gè)角度的創(chuàng)新方法被提出，例如如何應(yīng)對(duì)低熵文本、如何讓文本攜帶多比特信息、如何高魯棒地應(yīng)對(duì)攻擊者的篡改、如何抵御水印偽造等等。

如何評(píng)估一個(gè)文本水印算法？

在該綜述中，作者系統(tǒng)性地將文本水印算法的評(píng)估總結(jié)為四個(gè)角度：Success Rate（成功率）、Text Quality（文本質(zhì)量）、Robustness（魯棒性）、Unforgeability（不可偽造性）。

• Success Rate：檢測(cè)水印信息的準(zhǔn)確性
• Text Quality：水印算法對(duì)文本質(zhì)量的影響
• Robustness：應(yīng)對(duì) “水印移除攻擊” 的魯棒性
• Unforgeability：抵制水印偽造的能力

作者還對(duì)每個(gè)評(píng)估角度下現(xiàn)有的評(píng)估指標(biāo)做了全面的總結(jié)。

1. Success Rate（成功率）：對(duì)于零比特水印算法（Zero-bit），檢測(cè)過(guò)程等價(jià)于一個(gè)二分類問(wèn)題，評(píng)估指標(biāo)包括 F1、TPR、FPR、TNR、FNR 等；對(duì)于多比特水印算法（Multi-bit），則需要考慮文本水印算法能夠攜帶的負(fù)載量（Payload），同時(shí)在檢測(cè)時(shí)需要關(guān)注比特正確率（Bit Accuracy）。

2. Text Quality（文本質(zhì)量）：評(píng)估水印算法對(duì)生成文本質(zhì)量的影響有多種指標(biāo)，例如 PPL（困惑度）、基于預(yù)訓(xùn)練模型編碼的語(yǔ)義相似度檢測(cè)、文本豐富性評(píng)估等。此外，還有許多研究在下游的 NLP 傳統(tǒng)任務(wù)上對(duì)水印文本的質(zhì)量進(jìn)行評(píng)估。這些下游任務(wù)包括：機(jī)器翻譯、情感分類、知識(shí)理解、代碼生成、文本總結(jié)、故事續(xù)寫、問(wèn)答、指令遵循等。

3. Robustness（魯棒性）：用于測(cè)試水印算法魯棒性的水印移除攻擊可以分為字符級(jí)（character-level）、單詞級(jí)（word-level）和文檔級(jí)（document-level）三大類。字符級(jí)的攻擊方式包括 Homoglyph Attack（同形字符替換攻擊）等，單詞級(jí)的攻擊方式包含同義詞替換、Emoji Attack 等，文檔級(jí)攻擊包括重寫攻擊、Copy-Paste Attack 等。

4. Unforgeability（不可偽造性）：不可偽造性需要在兩種不同的檢測(cè)場(chǎng)景下分別考慮。在私密檢測(cè)場(chǎng)景（Private Detection Scenario）下，也就是水印檢測(cè)器不公開(kāi)的情況下，攻擊者只能從生成的文本中尋找蛛絲馬跡，試圖攻破水印規(guī)則。這里的攻擊方式包括訓(xùn)練分類器，以及詞頻分析（Spoofing Attack）等。在公開(kāi)檢測(cè)場(chǎng)景（Public Detection Scenario）下，也就是水印檢測(cè)器公開(kāi)的情況下，攻擊者不僅可以從生成的文本中尋找線索，還可以通過(guò)分析檢測(cè)器的結(jié)構(gòu)和算法來(lái)反推生成器的設(shè)計(jì)。這里的攻擊方式在私密場(chǎng)景攻擊方式的基礎(chǔ)上，還包括逆向工程（Reverse Training）等等。

此外，作者還整理了現(xiàn)有的文本水印算法在這四個(gè)評(píng)估角度下做出的優(yōu)化嘗試，▲代表基礎(chǔ)優(yōu)化目標(biāo)，● 代表首要優(yōu)化目標(biāo)，○ 代表次要優(yōu)化目標(biāo)。

文本水印技術(shù)的應(yīng)用場(chǎng)景

大模型時(shí)代下，文本水印技術(shù)的應(yīng)用場(chǎng)景得到了進(jìn)一步的拓廣。本綜述關(guān)注了新紀(jì)元下文本水印技術(shù)的三大應(yīng)用場(chǎng)景：版權(quán)保護(hù)、學(xué)術(shù)誠(chéng)信和虛假新聞檢測(cè)。

1. 版權(quán)保護(hù)：文本水印在保護(hù)文本 / 數(shù)據(jù)集版權(quán)以及保護(hù)大模型版權(quán)上發(fā)揮了至關(guān)重要的作用。

• 文本 / 數(shù)據(jù)集版權(quán)保護(hù)：在數(shù)字時(shí)代，隨著數(shù)據(jù)的共享和利用不斷增加，保護(hù)這些資產(chǎn)免受非法復(fù)制和濫用的影響變得至關(guān)重要。文本水印技術(shù)通過(guò)在文本和數(shù)據(jù)集中嵌入不可察覺(jué)的標(biāo)記，有助于維護(hù)知識(shí)產(chǎn)權(quán)。
  
  
• 大模型版權(quán)保護(hù)：大模型版權(quán)保護(hù)的關(guān)鍵目標(biāo)是防御抽取攻擊，即從 LLMs 中提取大量數(shù)據(jù)用于訓(xùn)練新模型。通過(guò)在 LLMs 的輸出中嵌入水印，使用帶水印的數(shù)據(jù)集進(jìn)行訓(xùn)練后得到的新模型也會(huì)帶有水印特征。當(dāng)前的研究工作已經(jīng)為各種 LLM 類型開(kāi)發(fā)了水印算法，包括嵌入式（輸入是文本，輸出是該文本的相應(yīng)嵌入）、生成式（目前最常用的 LLM，其輸入和輸出都是文本）和分類式（輸入是文本，輸出是特定的類別）的 LLM。

2. 學(xué)術(shù)誠(chéng)信：在當(dāng)今的教育領(lǐng)域，學(xué)術(shù)誠(chéng)信問(wèn)題尤為重要。尤其是考慮到 LLMs 的輕松獲取和使用，學(xué)生可能會(huì)利用這些先進(jìn)的模型完成作業(yè)、論文，甚至參加考試，這給維護(hù)學(xué)術(shù)誠(chéng)信帶來(lái)了新的挑戰(zhàn)。在需要學(xué)生獨(dú)立和原創(chuàng)完成的任務(wù)或考試中，有必要制定方法來(lái)判定提交的內(nèi)容是否由 LLMs 生成。文本水印技術(shù)通過(guò)在 LLMs 的輸出中嵌入隱式的水印特征，可以高效地檢測(cè)機(jī)生文本，為維護(hù)學(xué)術(shù)誠(chéng)信做出貢獻(xiàn)。

3. 虛假新聞檢測(cè)：隨著 LLMs 技術(shù)的興起，它在創(chuàng)建令人信服但有潛在錯(cuò)誤或誤導(dǎo)性內(nèi)容上信手拈來(lái)，這使 LLMs 成為制造虛假新聞的有效工具，從而欺騙公眾并扭曲事實(shí)。在數(shù)字時(shí)代下，這些虛假信息在數(shù)字平臺(tái)上的迅速繁衍加劇了錯(cuò)誤觀點(diǎn)的傳播，侵蝕了公眾對(duì)可靠信息源的信任。因此，識(shí)別由 LLMs 生成的新聞至關(guān)重要。文本水印技術(shù)通過(guò)在 LLMs 的輸出中嵌入隱式的水印特征，可以高效地檢測(cè)機(jī)生新聞，為維護(hù)新聞的真實(shí)和純凈做出貢獻(xiàn)。

挑戰(zhàn)與機(jī)遇并存：

大模型時(shí)代下的文本水印技術(shù)將何去何從？

在本綜述中，作者以前瞻性的眼光分析了大模型時(shí)代下文本水印技術(shù)仍然面臨的挑戰(zhàn)，給出了未來(lái)可能的發(fā)展方向，對(duì)文本水印技術(shù)的前沿趨勢(shì)做出了深度探索。

1. 探索平衡不同評(píng)估角度的文本水印算法

如上文提到的那樣，評(píng)估一個(gè)文本水印算法可以有不同的視角。然而，這些視角通常存在固有的矛盾，使得一個(gè)文本水印算法難以同時(shí)在所有評(píng)估視角中表現(xiàn)優(yōu)異。例如，在高負(fù)載情況下實(shí)現(xiàn)成功率、文本質(zhì)量和魯棒性之間的良好平衡是困難的。

• 平衡負(fù)載、魯棒性和文本質(zhì)量：關(guān)鍵主要在于設(shè)計(jì)更有效的策略來(lái)劃分水印文本空間。這可能需要額外的設(shè)計(jì)來(lái)對(duì)抗?jié)撛诘乃∪コ?，將水印空間劃分為不同的水印消息域，確保在不同水印消息域之間過(guò)渡需要足夠數(shù)量的水印去除攻擊操作。其次，從負(fù)載的角度來(lái)看，可以從糾錯(cuò)碼的概念中汲取靈感，例如利用漢明碼，以提高從部分修改的文本中恢復(fù)原始水印信息的概率。這些方法可以有效增強(qiáng)負(fù)載和魯棒性，同時(shí)對(duì)文本質(zhì)量產(chǎn)生一致的影響。
  
  
• 增強(qiáng)文本水印的不可偽造性：通常需要利用密碼學(xué)、信息理論和機(jī)器學(xué)習(xí)等領(lǐng)域的專業(yè)知識(shí)。這涉及增加水印算法的復(fù)雜性，以提高其抵抗偽造的能力。盡管當(dāng)前的方法取得了一些進(jìn)展，但它們更為復(fù)雜的設(shè)計(jì)仍引入了額外的非魯棒因素。此外，這些方法尚未在具有更大負(fù)載的場(chǎng)景中推廣應(yīng)用。

2. 探索適應(yīng)更具挑戰(zhàn)性實(shí)用場(chǎng)景的文本水印算法

水印算法在簡(jiǎn)單環(huán)境中表現(xiàn)良好，但在面對(duì)低熵和公開(kāi)檢測(cè)情境時(shí)需要進(jìn)一步改進(jìn)。低熵情境下，由于文本多樣性和復(fù)雜性較低，嵌入水印而不影響嚴(yán)格格式要求具有挑戰(zhàn)性。在公開(kāi)檢測(cè)情境中，水印的存在和檢測(cè)機(jī)制公開(kāi)可見(jiàn)，要求算法足夠復(fù)雜和不可預(yù)測(cè)，同時(shí)保持生成方法的安全性和實(shí)用性。未來(lái)的方法可能涉及更精密的加密和機(jī)器學(xué)習(xí)技術(shù)。

3. 制定更全面的評(píng)估基準(zhǔn)

目前文本水印基準(zhǔn)研究主要關(guān)注文本質(zhì)量，對(duì)其他關(guān)鍵指標(biāo)如高成功率、魯棒性和防偽性的基準(zhǔn)較為有限。因此，未來(lái)的重要方向之一是建立更全面的基準(zhǔn)系統(tǒng)。構(gòu)建這樣的基準(zhǔn)需要考慮各種應(yīng)用場(chǎng)景、攻擊方法和不同水印算法的特征，同時(shí)確保建立一個(gè)公平、透明、用戶友好的評(píng)估過(guò)程，使研究人員能夠在統(tǒng)一標(biāo)準(zhǔn)下測(cè)試和比較算法。這一基準(zhǔn)系統(tǒng)將推動(dòng)學(xué)術(shù)研究和幫助行業(yè)更好地理解和應(yīng)用文本水印技術(shù)。

4. 拓寬文本水印技術(shù)的應(yīng)用場(chǎng)景

盡管文本水印技術(shù)在多個(gè)領(lǐng)域展示了其實(shí)用性，但要實(shí)現(xiàn)更廣泛的應(yīng)用還需要進(jìn)一步努力。這不僅包括水印技術(shù)的進(jìn)步，還涉及技術(shù)領(lǐng)域以外的因素，包括 LLM 提供者的參與、公眾信任和透明度等。

• LLM 提供者的參與：隨著大型語(yǔ)言模型生成大量文本，有必要將文本水印功能整合到它們的服務(wù)中促進(jìn)文本水印的使用。然而，目前這些提供商在文本水印技術(shù)上的參與不足，受到技術(shù)和非技術(shù)因素的制約?，F(xiàn)有算法需要更全面地考慮對(duì)文本質(zhì)量的影響，未來(lái)的研究應(yīng)重點(diǎn)關(guān)注提供商直接受益的領(lǐng)域，如保護(hù)模型版權(quán)。
  
  
• 公眾信任和透明度：公眾信任和透明度是推動(dòng)文本水印技術(shù)廣泛應(yīng)用的關(guān)鍵因素。只有當(dāng)公眾信任文本水印算法并相信其檢測(cè)結(jié)果準(zhǔn)確時(shí)，它們才能在實(shí)際應(yīng)用中發(fā)揮作用。為增強(qiáng)公眾信任，需要確保水印技術(shù)的透明度和可靠性。全面披露文本水印檢測(cè)算法的細(xì)節(jié)是關(guān)鍵步驟，透明度不僅培養(yǎng)用戶信任，還推動(dòng)了學(xué)術(shù)和工業(yè)的發(fā)展。引入獨(dú)立第三方平臺(tái)進(jìn)行檢測(cè)和驗(yàn)證可以加強(qiáng)信任，政府和監(jiān)管準(zhǔn)則有助于確保技術(shù)的公正和透明度，提高公眾信心。

結(jié)語(yǔ)

本綜述深入探討了在 LLMs 時(shí)代下文本水印技術(shù)的發(fā)展現(xiàn)狀，全面總結(jié)了其算法設(shè)計(jì)與實(shí)現(xiàn)、評(píng)估角度與方法、在版權(quán)保護(hù)、學(xué)術(shù)誠(chéng)信和假新聞檢測(cè)等領(lǐng)域的應(yīng)用，以及該領(lǐng)域的挑戰(zhàn)和未來(lái)方向。作者熱切歡迎學(xué)術(shù)界和行業(yè)專家就大模型時(shí)代下文本水印的研究議題進(jìn)行廣泛的交流和討論。希望這不僅僅是一份綜述論文，更是一個(gè)激發(fā)深入思考與廣泛交流的契機(jī)。