Every Language Model Has a Forgery-Resistant Signature

该论文提出了一种利用语言模型输出自然存在于高维椭圆表面的几何约束作为“椭圆签名”的模型溯源与验证方法，该方法具有抗伪造、自包含且无需访问模型参数或输入的独特优势。

要点

这篇论文提出了一种非常有趣且强大的概念：每一个大型语言模型（LLM）都自带一个无法伪造的“隐形签名”。

想象一下，如果你去银行取钱，银行经理不仅给你现金，还会在钞票上盖一个只有他们知道如何制作的特殊印章。如果你拿到一张钱，只要检查这个印章，就能立刻知道它是不是真的，甚至知道它来自哪家银行。

这篇论文发现，语言模型在生成文字时，也会无意中留下这样一个“印章”。

1. 这个“印章”是什么？（椭圆签名）

通常我们认为，语言模型输出的是一个个单词的概率（比如下一个词是“苹果”的概率是 0.8，是“香蕉”的概率是 0.1）。

作者发现，这些概率并不是杂乱无章的。由于模型内部数学结构的限制（特别是最后一步的“归一化”操作），所有合法的输出概率，在数学空间里必须落在一个特定的、高维的“椭圆”表面上。

• 通俗比喻：想象模型是一个巨大的、看不见的“模具”。无论它生成什么内容，它的输出（概率分布）都必须像泥巴一样，紧紧贴合在这个模具的内壁上。这个模具的形状就是一个高维的“椭圆”。
• 每个模型都有独特的模具：就像每个人的指纹独一无二，每个语言模型（比如 Llama 3、GPT-4、Qwen）都有自己专属的“椭圆模具”。

2. 为什么这个签名很厉害？

论文指出，这种“椭圆签名”有四个超级特性，让它比现有的其他检测方法（如数字水印）更强大：

• 天生自带（Naturally Occurring）：
  • 比喻：就像人出生就有指纹一样，不需要模型开发者特意去安装。只要是现代语言模型，就必然有这个签名。你不需要问模型“你签了吗？”，它自己就签了。
• 自我包含（Self-Contained）：
  • 比喻：你不需要知道模型的“大脑”（参数）是怎么构造的，也不需要知道用户问了什么（输入），只需要拿到模型输出的那一点点“概率数据”，就能验证它是不是真的。就像你不需要知道造币厂的内部图纸，只要拿到钱，就能通过印章验真伪。
• 紧凑且冗余（Compact & Redundant）：
  • 比喻：现有的水印可能需要读完一整篇文章才能发现“哦，这是 AI 写的”。但椭圆签名是每一个字都带着签名。哪怕模型只生成了一个词，你也能立刻判断它来自哪个模型。
• 最难伪造（Forgery-Resistant）：
  • 这是最核心的亮点。
  • 比喻：现有的“线性签名”就像是一个简单的几何图形（比如一条直线），黑客只要问模型几次，就能算出这条线的方程，然后自己画一条一模一样的线来冒充。
  • 但“椭圆签名”是一个极其复杂的高维椭球体。要想伪造它，黑客必须通过成千上万次提问，收集海量数据，然后用超级计算机花上几千年的时间去拟合出这个椭圆的形状。对于现在的商业大模型来说，伪造这个签名在算力和金钱上几乎是不可能的。

3. 这个发现有什么用？

作者提出了一个类似“数字身份证”的验证系统：

• 场景：假设某人在网上发布了一条有害信息，并声称“这不是我生成的，是别人用我的模型生成的”，或者模型提供商想证明“这条有害信息确实是我们模型生成的”。
• 验证过程：
  1. 第三方（比如监管机构）手里拿着该模型的“椭圆参数”（就像拿着模具的图纸）。
  2. 他们拿到那条有争议的输出数据。
  3. 检查这条数据是否完美地落在“椭圆模具”上。
  4. 如果落在上面：铁证如山，这就是该模型生成的。
  5. 如果没落在上面：那它肯定不是这个模型生成的，或者是被恶意篡改过的。

4. 总结

这篇论文就像是在语言模型的“指纹”领域发现了一种新的、更高级的防伪技术。

• 以前：我们试图在 AI 生成的文字里偷偷埋入水印（像在水果里塞标签），但这需要 AI 厂商配合，而且容易被擦除。
• 现在：我们发现 AI 的“数学骨架”本身就是一个无法抹去的签名。只要 AI 还在运行，这个签名就存在。

一句话总结：语言模型在说话时，每一个字都带着它独特的“数学指纹”，这个指纹极难被模仿，因此可以用来像验钞一样，精准地识别出这段话到底是不是由某个特定的 AI 生成的。这对于打击 AI 滥用、追踪责任归属具有巨大的潜力。

技术摘要

这是一篇发表于 ICLR 2026 的会议论文，题为《Every Language Model Has a Forgery-Resistant Signature》（每个语言模型都有一个抗伪造签名）。该论文由南加州大学（USC）的研究人员 Matthew Finlayson、Xiang Ren 和 Swabha Swayamdipta 撰写。

以下是对该论文的详细技术总结：

1. 研究背景与问题 (Problem)

随着闭源权重（Closed-weight）大语言模型（LLM）及其公开 API 的普及，模型取证（Forensics）变得至关重要。现有的方法旨在从模型输出中提取隐藏信息或识别生成源。

• 现有方法的局限性：
  • 线性签名（Linear Signatures）：之前的研究利用模型架构的线性约束来识别模型，但这些签名容易被伪造（通过提取线性约束即可生成符合约束的输出）。
  • 水印（Watermarks）：通常需要模型提供商主动实施，不具备“自然发生”的特性，且往往需要长文本才能统计检测。
  • 后门指纹（Backdoor Fingerprints）：需要特殊训练且依赖特定输入。
• 核心问题：是否存在一种自然发生、自包含（无需输入或完整权重）、紧凑（单步即可检测）且抗伪造（在没有参数访问权限下难以伪造）的模型签名机制？

2. 核心发现与方法论 (Methodology)

论文提出了一种基于**高维椭圆（High-dimensional Ellipse/Ellipsoid）**几何约束的模型签名机制。

2.1 理论基础：语言模型输出位于椭圆上

• 架构约束：现代语言模型（如 Transformer）通常在最后几层包含一个归一化层（如 RMS Norm 或 Layer Norm），随后是一个线性层（Unembedding matrix $W$）将隐藏状态映射到词汇表空间。
• 几何推导：
  1. 归一化层将隐藏状态映射到 $d$ 维超球面（Sphere）上（模长为 1）。
  2. 随后的线性层（$W$）和仿射变换（$\gamma, \beta$）将球面拉伸、旋转并平移。
  3. 数学上，球面经过仿射变换后，其像是一个高维椭球面（Ellipsoid）。
  4. 因此，模型输出的 Logits（或 Log-probabilities，经过中心化处理）必然位于这个特定的 $d$ 维椭球面上。
• 签名定义：每个模型的训练参数决定了其独特的椭球形状（旋转、拉伸、偏置）。这个椭球即为该模型的“签名”。

2.2 验证与提取

• 验证：给定一个输出向量（Logprobs），检查其是否位于特定模型的椭球面上。如果距离椭球面极近，则极大概率来自该模型。
• 提取（攻击视角）：为了伪造签名，攻击者需要通过 API 收集大量输出，拟合出椭球参数。
  • 算法：使用半定规划（Semidefinite Programming）等椭圆拟合算法，从 Logprobs 中恢复椭球的参数（$W, \gamma, \beta$ 的等效表示）。
  • 复杂度分析：
    • 样本复杂度：需要 $O(d^2)$ 个样本来定义一个 $d$ 维椭球（$d$ 为隐藏层维度）。对于大模型（如 $d=4096$），需要数百万次查询。
    • 查询复杂度：考虑到 API 限制，实际查询复杂度约为 $O(d^3 \log d)$。
    • 计算复杂度：拟合椭球的算法时间复杂度高达 $O(d^6)$。

3. 关键贡献与特性 (Key Contributions)

论文指出“椭圆签名”具有四个独特的属性，填补了现有输出验证系统的空白：

1. 抗伪造性 (Forgery-Resistant)：
   • 这是最显著的特性。与线性签名不同，伪造椭圆签名需要拟合高维椭球。
   • 对于生产级模型（如 70B 参数），提取椭球所需的 API 查询成本（数百万美元）和计算时间（数千年）在实践上是不可行的。
   • 因此，在没有直接访问模型参数的情况下，几乎无法生成符合该椭球约束的新 Logprobs。
2. 自然发生 (Naturally Occurring)：
   • 几乎所有现代语言模型都有归一化层，因此所有模型“天生”就带有这种椭圆约束，无需像水印那样由提供商主动植入。
3. 自包含 (Self-Contained)：
   • 验证过程不需要访问模型的输入（Prompt）或完整权重，仅需输出向量（Logprobs）和已知的椭球参数（作为密钥）。
4. 紧凑与冗余 (Compact and Redundant)：
   • 签名存在于每一个生成步骤的 Logprob 中。单个 Token 的预测概率分布即可用于识别模型，无需像某些水印方法那样依赖长文本的统计特征。

4. 实验结果 (Results)

• 模型识别实验：
  • 在 Olmo 2, Llama 3.1, Qwen 3, GPT OSS 等开源模型上进行了测试。
  • 将不同模型生成的 Logprobs 投影到目标模型的椭球空间，计算距离。
  • 结果：生成模型自身的输出到其椭球的距离比其他模型小几个数量级，能够以极高的准确率识别来源。
• 参数恢复实验：
  • 在小型模型（100 万参数）上成功提取了椭球参数（偏置、奇异值、旋转矩阵），证明了方法的可行性。
  • 随着模型尺寸增大，由于归一化中的平滑项（$\epsilon$）影响减小，拟合精度反而更高。
• 成本估算：
  • 表 1 显示，提取 Llama 3 70B 模型的椭球参数，基于 OpenAI 定价，成本可能超过 1600 万美元，且计算时间需数千年。这证实了大规模模型签名的抗伪造性。

5. 应用与意义 (Significance)

• 消息认证码 (MAC) 类比：
  • 论文提出将模型椭球视为秘密密钥，Logprobs 视为消息。
  • 拥有密钥（椭球参数）的验证者可以验证消息（Logprobs）是否由持有该密钥的模型生成。
  • 这构建了一个类似于密码学对称密钥消息认证的系统，用于模型问责。
• 监管与问责：
  • 如果法律要求模型提供商将椭球参数提交给受信任的第三方，当发生有害输出纠纷时，第三方可以独立验证输出是否确实来自该模型，解决“否认生成”的问题。
• 局限性：
  • 目前主要依赖 API 提供 Logprobs（OpenAI 等少数支持）。
  • 安全性基于多项式难度的计算困难，而非密码学意义上的绝对安全（如零知识证明）。
  • 签名容易被移除（修改模型输出或参数即可破坏椭圆约束），不具备指纹的“不可擦除性”。

总结

该论文揭示了一个被忽视的语言模型几何特性：由于归一化层的存在，模型输出天然落在高维椭球面上。这一特性构成了一个抗伪造、自然发生且自包含的模型签名。虽然提取该签名对于大模型在计算上极其困难，但验证签名却非常廉价。这一发现为语言模型的取证、身份验证和监管问责提供了一种强有力的新工具，特别是在闭源模型日益普及的背景下。