RandMark: On Random Watermarking of Visual Foundation Models

Each language version is independently generated for its own context, not a direct translation.

这篇文章介绍了一种名为 RandMark 的新方法，专门用来给“视觉基础模型”（Visual Foundation Models，简称 VFMs）打上数字水印，以保护它们的知识产权。

为了让你更容易理解，我们可以把这篇论文的内容想象成给昂贵的“超级厨师”颁发防伪身份证的故事。

1. 背景：为什么需要这个？

想象一下，现在有一些超级厨师（视觉基础模型，比如 CLIP 或 DINOv2）。他们非常厉害，只要给他们看一张图片，他们就能认出这是什么（分类），或者把图片里的东西圈出来（分割）。

价值高昂：培养这些厨师需要巨大的成本（收集海量数据、消耗大量电力训练）。
版权风险：老板们通常只把厨师“租”给别人用，或者卖给他们使用权。但有些坏人可能会偷偷把厨师“克隆”一份，或者把厨师改头换面后拿去赚钱，老板却很难证明“这个厨师是我家的”。

以前的方法（指纹技术）通常只针对只会做一道菜的“普通厨师”（分类模型），对于这种什么都会的“超级厨师”不太管用。

2. 核心创意：RandMark 是怎么工作的？

RandMark 就像是一个神奇的“隐形墨水”和“随机测试”系统。它不是把水印直接写在厨师的围裙上（修改模型参数），而是通过一种更聪明的方式：

第一步：准备“特制考题”（Trigger Images）

老板准备了一组特殊的图片（比如 1000 张随机图片），并给每张图片配上一个只有老板知道的秘密暗号（比如一串 32 位的二进制代码，像 10110...）。

第二步：给厨师“特训”（Embedding）

老板让厨师看这些特制图片，并训练厨师：

输入：图片 + 稍微加一点点“噪点”（就像给图片加了一层随机滤镜，每次都不一样）。
目标：让厨师在输出结果时，能隐约透露出那个秘密暗号。
关键点：这个特训非常轻微，就像给厨师加了一点“肌肉记忆”，完全不会让他忘记怎么炒菜（不影响模型原本的功能）。

第三步：验证身份（Verification）

当有人拿一个模型来问：“这是你的厨师吗？”

出题：用同样的“特制考题”和“随机滤镜”去测试这个模型。
解码：看模型能不能猜出那个秘密暗号。
统计：因为每次加滤镜都是随机的，所以猜出来的暗号也是随机的。
- 如果是自家的厨师（功能复制品）：无论滤镜怎么变，他猜出的暗号大部分都对（因为他的“肌肉记忆”还在）。
- 如果是别人的厨师（独立模型）：他猜出的暗号完全是乱码，跟暗号对不上。

3. 为什么这个方法很厉害？（比喻版）

比喻一：随机变形的镜子

以前的水印像刻在石头上的字，如果石头被磨平（模型被微调或剪枝），字就没了。
RandMark 像是给镜子照随机变形的物体。

如果镜子是原厂的，无论物体怎么变形，镜子里的倒影总有一些特定的规律（能还原出暗号）。
如果镜子是仿造的，无论物体怎么变形，镜子里的倒影都是乱七八糟的，还原不出暗号。
优势：即使坏人把镜子打磨了一下（微调模型）或者切掉了一部分（剪枝），只要核心的“反射规律”还在，就能认出它。

比喻二：只有亲妈能听出的“口音”

想象你教孩子说一句话（暗号），但每次说话时，你都会让他随机改变一点语调（随机变换）。

亲生的孩子（水marked 模型）：无论语调怎么变，他说话的核心节奏和发音习惯（统计特征）还是像你的。
邻居家的孩子（独立模型）：无论你怎么变，他说话完全不像你。
RandMark 就是那个能听出“核心节奏”的耳朵。

4. 实验结果：真的管用吗？

作者用两个最火的“超级厨师”（CLIP 和 DINOv2）做了测试：

抗干扰能力强：即使把模型拿去专门训练做“分类”或“分割”任务（微调），或者把模型“瘦身”（剪枝，去掉 40% 的神经元），RandMark 依然能100% 认出这是自家的模型。
不误伤好人：对于完全无关的其他模型，RandMark 绝对不会误判，不会把别人的模型当成自家的。
对比旧方法：以前的方法在模型被微调后，水印就失效了，或者会严重降低模型的性能（让厨师变笨）。RandMark 既保住了水印，又没让厨师变笨。

5. 总结

这篇论文提出了一种鲁棒（结实）且灵活的版权保护方案。

简单说：它给 AI 模型打上了一个“随机但可识别”的隐形标签。
核心价值：即使模型被修改、被微调、被压缩，只要它是从原模型“进化”来的，这个标签就能被检测出来；而如果是完全无关的模型，标签就检测不到。
意义：这就像给昂贵的 AI 资产穿上了一层防弹衣，让模型所有者能放心地分发和使用，不用担心被偷窃或滥用。

一句话总结：RandMark 就像给 AI 模型装了一个随机的“灵魂指纹”，不管模型怎么整容（微调）或减肥（剪枝），只要灵魂还是那个灵魂，就能被认出来。

Each language version is independently generated for its own context, not a direct translation.

这是一份关于论文《RandMark: On Random Watermarking of Visual Foundation Models》（RandMark：视觉基础模型的随机水印技术）的详细技术总结。

1. 研究背景与问题定义 (Problem)

背景：
视觉基础模型（Visual Foundation Models, VFMs，如 CLIP、DINOv2）在大规模多样化数据集上训练，具有强大的迁移能力和下游任务性能。由于其数据收集、训练和维护的高昂成本，这些模型成为了极具价值的资产。为了保护知识产权（IPR），模型所有者通常通过订阅服务或授权许可来分发模型。然而，存在用户违规将模型集成到其他服务中牟利，或进行模型提取（Model Extraction）的风险。

核心问题：
现有的模型所有权保护方法主要分为两类：

水印（Watermarking）： 通过修改模型参数嵌入信息。
指纹（Fingerprinting）： 生成唯一标识符而不修改模型。

目前的挑战在于：

现有的水印方法大多针对图像分类器设计，难以直接应用于具有广泛下游任务（如特征提取、分割、分类）的视觉基础模型（VFMs）。
现有的指纹方法（如 ADV-TRA, IPGuard）在 VFMs 上表现不佳，且容易在模型经过微调（Fine-tuning）或剪枝（Pruning）后失效。
需要一种能够区分“独立模型”与“功能复制品（Functional Copies，即经过微调或剪枝的水印模型副本）”的鲁棒方法。

2. 方法论 (Methodology: RandMark)

作者提出了 RandMark，一种针对视觉基础模型的随机水印嵌入与验证方法。

核心思想

RandMark 不直接修改模型权重以嵌入静态水印，而是通过一个轻量级的**编码器 - 解码器（Encoder-Decoder）网络，将二进制消息嵌入到特定输入图像集合的隐藏层表示（Hidden Representations）**中。

具体流程

水印嵌入（Embedding）：
- 输入： 原始图像 $x$ 和用户特定的二进制消息 $m$ （长度 $n$ ）。
- 扰动： 对输入图像添加随机噪声 $\epsilon_j \sim \mathcal{N}(0, \sigma^2 I)$ ，生成 $x + \epsilon_j$ 。
- 编码： 使用轻量级编码器 $e$ 将消息 $m$ 注入到扰动图像的表示中。
- 联合训练： 同时微调源模型 $f$ 、编码器 $e$ 和解码器 $d$ 。目标是最小化原始模型与水印模型在特征表示上的差异，同时最小化提取消息 $m'$ 与原始消息 $m$ 之间的误差。
- 损失函数： 结合特征保持项（Feature Preservation）和消息重建项（Message Reconstruction）。
水印验证（Verification）：
- 随机化输入： 在验证阶段，对触发集（Trigger Set）中的图像应用随机变换（添加噪声）。
- 提取与统计： 将变换后的图像输入待测模型，通过解码器提取二进制消息 $m'$ 。由于输入噪声的随机性，提取的消息 $m'$ 是一个随机变量。
- 决策规则： 计算提取消息 $m'$ 与原始消息 $m$ 之间的汉明距离（Bit Error Rate）。如果在多次随机变换下，平均误码率低于阈值 $\tau$ ，则判定该模型为水印模型的副本。

理论保障

概率界限： 论文从理论上推导了误报（False Positive，将非水印模型误判为水印）和漏报（False Negative，未能检测到水印副本）概率的上界。
统计特性： 利用提取消息的方差和均值作为统计量。对于功能相关的模型（ $f' \sim f$ ），提取的消息高度相关且方差小；对于独立模型（ $g \perp f$ ），提取的消息随机且方差大。

3. 主要贡献 (Key Contributions)

提出 RandMark 框架： 首次提出针对视觉基础模型的水印方法。不同于以往针对分类器的方法，RandMark 将二进制签名直接嵌入到模型的隐藏层表示中，使其适用于分类、分割等多种下游任务。
理论推导： 从理论上证明了该方法在检测非水印模型时的低误报率，以及在检测功能副本时的低漏报率，并给出了概率上界。
实验验证与鲁棒性： 在最新的 VFMs（CLIP 和 DINOv2）上进行了广泛实验。证明了 RandMark 在以下场景下具有极高的鲁棒性：
- 下游任务微调： 在图像分类和分割任务上微调后，水印依然可检测。
- 模型剪枝： 即使在非结构化剪枝（移除 20%-40% 权重）后，水印依然有效。
- 对比优势： 现有的指纹方法（如 ADV-TRA, IPGuard）在 VFMs 上几乎完全失效，而 RandMark 表现优异。

4. 实验结果 (Results)

数据集与模型： 使用了 CLIP 和 DINOv2 作为基础模型，在 E-commerce Product Images（分类）和 FoodSeg103（分割）数据集上进行微调测试。
检测率（Detection Rate）：
- 正样本（功能副本）： 在微调（分类/分割）和剪枝（20%/40%）后，RandMark 的检测率（True Positive Rate）接近 1.0（即 100% 检测成功）。
- 负样本（独立模型）： 对于不同架构的独立模型（如 DINOv2 with registers, CLIP），误报率（False Positive Rate）接近 0。
对比基线：
- 与 ADV-TRA 和 IPGuard 相比，RandMark 在分类和分割场景下的检测率显著更高（例如，ADV-TRA 在分割任务上检测率为 0）。
- 与基于权重平滑的基线方法相比，RandMark 在保持下游任务性能（如分割精度）的同时，能更有效地保留水印。基线方法往往导致任务性能大幅下降且水印丢失。
统计相关性： 实验显示，水印相关模型之间的解码消息协方差为正，而独立模型之间的协方差接近零，进一步验证了方法的有效性。

5. 意义与结论 (Significance & Conclusion)

模型无关性（Model Agnostic）： RandMark 不需要修改模型架构，只需准备一组输入图像并执行一次嵌入过程。一旦嵌入，模型在微调到特定下游任务后仍可被检测。
解决 IP 保护痛点： 为高价值的视觉基础模型提供了一种有效的知识产权保护手段，能够有效应对模型微调、剪枝等常见的“去水印”攻击或模型提取行为。
低误报与低漏报： 理论上和实验上均证明了该方法在区分“合法副本”和“无关模型”方面具有极高的准确性，适合实际部署场景。

总结： RandMark 通过利用随机输入变换和隐藏层表示的统计特性，成功解决了视觉基础模型难以水印化的难题，为保护大模型知识产权提供了一种鲁棒、高效且理论完备的解决方案。