Trusting What You Cannot See: Auditable Fine-Tuning and Inference for Proprietary AI

本文提出了 AFTUNE 框架，通过轻量级记录与抽查机制生成可验证的执行轨迹，从而在不过度增加计算开销的前提下，解决了云环境中大模型微调与推理过程因规模过大而难以审计的信任缺失问题。

要点

这篇论文介绍了一个名为 AFTUNE 的新系统，旨在解决一个现代 AI 领域的核心信任危机：当你把大模型（比如像 ChatGPT 这样的智能助手）交给云服务商去“训练”或“运行”时，你如何确信他们真的按你的要求做了，而不是偷偷偷懒、作弊或植入后门？

想象一下，你是一家餐厅的老板（客户），你雇佣了一家中央厨房（云服务商）来为你研发一道新菜（微调模型）并负责每天给客人上菜（推理）。

1. 核心问题：看不见的“黑盒”

现在的云服务商（如 OpenAI）通常把模型参数保密，不让你看。这就好比：

• 你把食材（数据）和食谱要求（超参数）交给中央厨房。
• 厨房告诉你：“放心，我们按你的要求做了，这是成品。”
• 但问题在于：你看不见厨房内部。厨师可能偷偷换了便宜的食材（数据投毒），可能为了省时间只炒了一半（训练偷懒），甚至可能在菜里下了毒（植入后门），而你完全无法察觉。

以前的验证方法要么太慢（像用显微镜检查每一粒米，耗时太久），要么要求你把整个厨房搬进你的保险柜（内存不够，做不到）。

2. AFTUNE 的解决方案：聪明的“抽查”与“快照”

AFTUNE 提出了一种既不需要你进厨房，又不会让厨房慢下来的验证方法。它用了两个核心创意：

创意一：把漫长的过程切成“积木块” (Block Decomposition)

想象训练模型是一个漫长的接力赛，有几千个运动员（层）跑几千圈（步）。

• 传统做法：要在终点检查每个人每一圈的跑步姿势，记录量太大，根本记不下来。
• AFTUNE 的做法：把比赛分成一个个小段落（积木块）。
  • 我们只记录每个小段落开始和结束时的状态（比如运动员的起跑位置和冲刺位置）。
  • 只要这些“边界状态”是对的，中间的过程大概率也是对的。
  • 比喻：就像你不需要看厨师切菜的全过程，只需要在切菜前和切菜后分别拍一张照片（记录边界状态）。如果照片里的菜看起来是对的，中间切菜的过程大概率没问题。

创意二：只查“随机抽选”的几块 (Sampling-Based Spot-Check)

既然记录了所有段落的“开始和结束照片”，你不需要每次都把整个厨房重新跑一遍来验证。

• 做法：当你怀疑厨房作弊时，你随机指定：“我要检查第 3 段到第 5 段，第 10 圈到第 12 圈”。
• 验证：厨房必须在**受保护的密室（TEE，可信执行环境）**里，只重新计算这几小块，并出示计算结果。
• 威慑力：虽然你只查一小部分，但厨师不知道你会查哪一部分。为了不被抓，他不敢在任何地方作弊。这就好比警察在高速公路上随机设卡查车，虽然只查 1% 的车，但所有司机都不敢超速。

3. 具体流程：它是如何工作的？

1. 准备阶段：你和云服务商约定好，我们会用“积木块”的方式记录关键节点。
2. 训练/运行阶段：
   • 云服务商在普通的高速服务器上全速运行（不卡顿）。
   • 同时，系统会自动给每个“积木块”的边界状态（数据、参数）拍个“数字指纹”（哈希值），并打包发给你。
   • 比喻：厨师在炒菜时，每切完一个阶段，就自动把切好的菜称重并贴个防伪标签，把标签发给你。
3. 审计阶段：
   • 你想验证时，随机挑几个“积木块”。
   • 云服务商在**安全密室（TEE）**里，只重新做这几个小块。
   • 你把重新做的结果和之前收到的“防伪标签”对比。如果指纹对得上，说明这部分没问题。

4. 为什么这个方法很厉害？

• 速度快：它不需要在训练过程中做复杂的加密计算（像以前的零知识证明那样慢），只是简单地记录“指纹”，所以速度几乎和没验证时一样快。
• 省空间：不需要存储整个几千亿参数的模型，只存关键的“边界状态”。
• 保护隐私：云服务商不需要把核心配方（模型参数）给你看，你也能验证他们没乱做。
• 防作弊：即使厨师想偷偷换料，因为不知道你会查哪一段，他一旦在任意一段作弊，就有很大概率被随机抽查抓个正着。

总结

AFTUNE 就像是一个智能的、随机的“飞行检查”系统。它不需要你拥有整个工厂，也不需要工厂停下来等你检查。它通过记录关键节点的指纹和随机抽查重算，让你能够放心地把大模型交给云服务商，确信他们真的在按合同办事，而不是在“偷工减料”。

这就解决了“信任”问题：你不需要相信人，你只需要相信数学和随机抽查的威慑力。

技术摘要

论文技术总结：《Trusting What You Cannot See: Auditable Fine-Tuning and Inference for Proprietary AI》

1. 研究背景与问题 (Problem)

随着大型语言模型（LLM）的普及，云基础设施已成为部署和微调模型的主要平台。然而，这种模式存在一个根本性的信任缺口：

• 不可见性：客户将数据和配置交给云提供商，但无法独立验证提供商是否按照合同执行了微调（Fine-tuning）和推理（Inference）。
• 专有模型限制：对于 GPT、Gemini 等专有模型，参数必须保密，客户无法直接检查模型权重。
• 现有方案失效：
  • 零知识证明 (ZKP)：虽然能提供数学完整性，但生成证明的计算开销巨大（比明文执行慢数千倍），无法适应现代大模型。
  • 可信执行环境 (TEE)：虽然能提供硬件隔离，但现代 LLM 的显存需求远超单个 TEE 实例的容量，且微调过程涉及优化器状态和梯度，显存占用更大，导致无法将整个训练/推理流程放入 TEE 中运行。
• 潜在风险：不可信的提供商可能降低服务质量、嵌入偏见、植入后门，或在推理阶段替换模型，而客户对此毫无察觉。

核心挑战：如何在保护模型参数机密性的前提下，为云端的微调与推理过程提供可审计、可验证的完整性保证，同时不引入 prohibitive（难以承受）的性能开销。

2. 方法论 (Methodology)

作者提出了 AFTUNE，一个可审计且可验证的框架。其核心思想是解耦执行与验证，利用 TEE 进行轻量级的“事后抽查”，而非全程保护。

2.1 核心设计：二维分块结构 (2D Block Decomposition)

为了解决 TEE 内存受限的问题，AFTUNE 将训练和推理过程在**层（Layer）和步（Step）**两个维度上划分为独立的“块（Block）”。

• 边界状态记录：不记录每一步每一层的中间状态，仅记录块边界的状态（如层块边界的激活值/梯度，步块边界的参数/优化器状态）。
• 组合验证：利用神经网络计算的确定性特性，相邻块共享边界张量。只要验证了边界状态的一致性，即可通过重计算（Recomputation）验证整个块的内部计算。
• 优势：避免了将整个模型或完整轨迹加载到 TEE 中，仅需在 TEE 中重算小块区域。

2.2 高效承诺生成：Map-Reduce 哈希方案

为了在训练过程中生成不可篡改的证据，AFTUNE 采用了针对加速器（GPU）优化的哈希策略：

• 分块并行哈希：将大型张量（Tensor）切分为小块，在 GPU 上并行计算每个小块的哈希值。
• 聚合：将所有小块的哈希值串联后，在 CPU 上计算最终哈希。
• 目的：将哈希计算转化为并行任务，避免串行哈希成为训练吞吐量的瓶颈。

2.3 基于采样的抽查验证 (Sampling-based Spot-Checking)

• 按需验证：客户不需要验证所有块，而是随机选择一部分块进行验证。
• 重计算协议：
  1. 客户指定要验证的块（Layer 和 Step 范围）。
  2. 提供商在 TEE 中加载该块所需的边界状态和模型参数。
  3. TEE 重新执行该块的计算（前向传播或反向传播）。
  4. 将重算结果与记录的哈希值及数值（在浮点误差容限内）进行比对。
• 概率保证：即使只验证少量块，由于攻击者无法预知哪些块会被抽查，任何篡改行为都有极高的概率被检测出来（多次审计下检测率趋近于 100%）。

2.4 存储优化

• 稀疏检查点 (Sparse Checkpointing)：参数和优化器状态不需要每一步都保存，可以按间隔保存，缺失的状态通过重计算恢复。
• 零存储策略：极端情况下，仅记录哈希，验证时提供商重新运行整个训练过程（仅记录目标块），以空间换时间。

3. 主要贡献 (Key Contributions)

1. AFTUNE 框架：首个针对云端专有模型微调与推理的可验证框架。它通过基于块的证据生成，将验证过程与微调执行解耦，克服了 TEE 内存限制，允许用户在保护模型参数机密性的同时验证计算过程。
2. 创新验证策略：
   • 提出了基于采样的验证策略，以实际成本提供概率检测保证。
   • 设计了Map-Reduce 风格的哈希方案，实现了高效的承诺生成，最小化对训练流水线的干扰。
3. 系统实现与评估：
   • 在基于 CUDA 的训练和推理流水线中集成了 AFTUNE。
   • 在真实的 TEE 硬件（Intel SGX/TDX）上，针对多种开源模型（Llama-3.1-8B, Qwen2.5-14B, DINOv2, ViT）进行了评估。
   • 支持全量微调（Full Fine-tuning）和参数高效微调（LoRA）。
4. 性能与安全性平衡：证明了在保持接近基线（Baseline）性能的同时，实现了实用的验证成本。

4. 实验结果 (Results)

• 性能开销：
  • AFTUNE 的训练时间开销显著低于全 TEE 方案。例如，对于 Qwen2.5-14B，AFTUNE 的开销约为 14%-32%（取决于块大小），而全 TEE 方案不可行。
  • 存储成本大幅降低：相比逐层记录，AFTUNE 通过块边界记录将存储成本降低了 50% 以上。
  • LoRA 微调：开销更低，因为参数哈希成本较小。
• 验证准确性：
  • 数值误差：在 float32 精度下，重计算产生的相对 L2 误差极小（$10^{-7}$ 级别），远小于恶意攻击所需的扰动幅度，能有效区分正常浮点误差和恶意篡改。
  • 安全性：实验表明，在 bfloat16 精度下，数值误差可能掩盖恶意扰动，因此推荐使用 float32 或更高精度进行验证。
  • 攻击检测：对于后门注入、数据投毒和模型替换攻击，基于采样的验证策略具有极高的检测率。
• 推理验证：推理延迟开销可低至 10%，存储成本仅为几 MB，验证时间在秒级。

5. 意义与影响 (Significance)

• 填补信任空白：解决了云 AI 服务中“黑盒”操作的问题，使客户能够验证服务提供商是否忠实执行了合同（数据集、超参数、模型版本）。
• 实用性与可扩展性：AFTUNE 不要求改变现有的复杂训练基础设施，仅需在 CPU TEE 上进行轻量级验证，使得大规模 LLM 的可验证部署成为可能。
• 生态建设：通过提供可审计的证据，激励云提供商诚实经营，促进更透明、可信赖的 AI 服务生态系统。
• 防御性创新：该框架纯粹用于防御和检测恶意行为，开源代码有助于社区进一步研究和改进。

总结：AFTUNE 通过巧妙的“分块 + 重计算 + 抽样”机制，成功在保护模型机密性、维持高性能和提供强验证保证之间取得了平衡，为未来可信云 AI 服务奠定了重要基础。