作者:Moyed,F(xiàn)our Pillars前聯(lián)創(chuàng);Teng Yan,Chain of Thought;翻譯:喜來順財(cái)經(jīng)xiaozou
●????? Sentient是一個(gè)“Clopen”人工智能模型平臺(tái),結(jié)合了開源模型和閉源模型的優(yōu)點(diǎn)。
●????? 該平臺(tái)有兩個(gè)關(guān)鍵組件:OML和Sentient協(xié)議。
●????? OML是Sentient的開源模型盈利方式,允許模型所有者獲取收益。每次請求推理時(shí),它都會(huì)使用Permission String進(jìn)行驗(yàn)證。
●????? 盈利能力是Sentient正在解決的關(guān)鍵問題——如果不能盈利,Sentient也將只是另一個(gè)開源AI模型聚合平臺(tái)。
●????? 訓(xùn)練期間Model Fingerprinting驗(yàn)證所有權(quán),就像照片上的水印一樣。更多的指紋意味著更高的安全性,但卻以犧牲性能為代價(jià)。
●????? Senttient協(xié)議是處理模型所有者、主機(jī)、用戶和Prover(證明者)需求的區(qū)塊鏈,所有這些都沒有中心化控制。
今天,我想介紹Crypto AI領(lǐng)域里最受期待的項(xiàng)目之一Sentient。我真的很好奇,Sentient在種子輪融資中籌集了8500萬美元(由Peter Thiel的Founders Fund領(lǐng)投),他們是不是真的這么值錢。
我之所以選擇介紹Sentient,是因?yàn)槲以陂喿x它的白皮書時(shí)發(fā)現(xiàn)它使用了我在AI Safety課程中學(xué)到的Model Fingerprinting技術(shù)。我越讀越覺得,“好吧,也許值得分享。”
今天,我們將從Sentient長達(dá)59頁的白皮書中提煉出關(guān)鍵點(diǎn),濃縮為一篇閱讀時(shí)長大約10分鐘的文章。
用一句話來介紹Sentient就是:它是一個(gè)“Clopen”人工智能模型平臺(tái)。
Clopen在這里的意思是Closed(閉源)+ Open(開源),也就是結(jié)合了閉源模型和開源模型兩種模式的優(yōu)勢。
讓我們來看一下兩種模型的利弊:
●????? 閉源AI模型:如OpenAI GPT等閉源AI模型允許用戶通過API訪問模型,所有權(quán)完全由公司持有。該模型的優(yōu)點(diǎn)是模型的創(chuàng)建實(shí)體保留了所有權(quán),但缺點(diǎn)是用戶不能確保透明度或?qū)δP蛽碛幸欢ǔ潭鹊淖杂伞?/p>
●????? 開源AI模型:像Meta Llama這樣的開源模型允許用戶自由下載和修改模型。優(yōu)點(diǎn)是用戶獲得了對模型的控制權(quán)和透明度,但缺點(diǎn)是創(chuàng)建者不能保留模型所有權(quán)或者從模型的使用中獲利。
Sentient的目標(biāo)是為Clopen AI模型創(chuàng)建一個(gè)平臺(tái),將這兩種優(yōu)勢結(jié)合起來。
換句話說,Sentient創(chuàng)造了一個(gè)用戶可以自由使用和修改AI模型的環(huán)境,同時(shí)允許創(chuàng)建者保留模型的所有權(quán)并從中獲利。
(1)主要角色:
Sentient有四個(gè)主要角色:
●????? 模型所有者:創(chuàng)建并上傳AI模型到Sentient協(xié)議的實(shí)體。
●????? 模型主機(jī):使用上傳的AI模型創(chuàng)建服務(wù)的實(shí)體。
●????? 最終用戶:使用模型主機(jī)所創(chuàng)建的服務(wù)的普通用戶。
●????? Prover:監(jiān)督模型主機(jī)并賺取少量費(fèi)用獎(jiǎng)勵(lì)的參與者。
(2)用戶流:
●????? 模型所有者創(chuàng)建并上傳AI模型到Sentient協(xié)議。
●????? 模型主機(jī)請求從Sentient協(xié)議訪問所需模型。
●????? Sentient協(xié)議將模型轉(zhuǎn)換為OML格式。Model Fingerprinting是一種驗(yàn)證模型所有權(quán)的機(jī)制,在此過程中Model Fingerprinting被嵌入到模型中。
●????? 模型主機(jī)通過Sentient協(xié)議鎖定一些抵押品。此后,模型主機(jī)可以下載并使用模型創(chuàng)建AI服務(wù)。
●????? 當(dāng)最終用戶使用AI服務(wù)時(shí),模型主機(jī)向Sentient協(xié)議支付費(fèi)用并請求“Permission String”。
●????? Sentient協(xié)議提供Permission String,模型主機(jī)響應(yīng)最終用戶的推理請求。
●????? Sentient協(xié)議收取費(fèi)用并向模型所有者和其他貢獻(xiàn)者分發(fā)獎(jiǎng)勵(lì)。
●????? 如果Prover發(fā)現(xiàn)模特主機(jī)違規(guī)(例如,不道德的模型使用,未支付費(fèi)用等),該模特主機(jī)的抵押品將被罰沒,而Prover將獲得獎(jiǎng)勵(lì)。
(3)Sentient兩大核心組件
要了解Sentient,重要的是要認(rèn)識(shí)到Sentient由兩個(gè)主要部分組成:OML格式和Sentient協(xié)議。
●????? OML格式:關(guān)鍵問題是,“我們?nèi)绾巫屢粋€(gè)開源AI模型具有盈利能力?”Sentient通過使用Model Fingerprinting將開源AI模型轉(zhuǎn)換為OML格式來實(shí)現(xiàn)這一點(diǎn)。
●????? Sentient協(xié)議:關(guān)鍵問題是,“我們?nèi)绾卧跊]有集中實(shí)體控制的情況下管理各方參與者的需求?”這包括所有權(quán)管理、訪問請求、抵押品罰沒和獎(jiǎng)勵(lì)分配,這些都是通過區(qū)塊鏈解決的。
基本上:OML格式+Sentient協(xié)議=Sentient。
雖然Sentient協(xié)議是重要組件,但OML格式不一定與之綁定,OML格式要更有趣。
OML代表開源、盈利性和忠誠度。
●????? Open開源:指開源AI模型,如Llama,這些模型可以在本地下載并修改。
●????? Monetizable盈利性:這一特性類似于ChatGPT等閉源AI模型,即模型主機(jī)所賺取的部分收益將與模型所有者共享。
●????? Loyalty忠誠度:模型所有者可以強(qiáng)制執(zhí)行準(zhǔn)則,例如禁止模型主機(jī)不道德地使用模型。
其中的關(guān)鍵在于如何很好地平衡開源和盈利性。
(1)Permission String
Permission String授權(quán)模型主機(jī)在Sentient平臺(tái)上使用模型。對于來自最終用戶的每個(gè)推理請求,模型主機(jī)必須從Sentient協(xié)議請求一個(gè)Permission String并支付費(fèi)用。然后,協(xié)議向模型主機(jī)發(fā)布Permission String。
有多種方法可以生成Permission String,但最常用的方法是讓每個(gè)模型所有者持有一個(gè)私鑰。每次模型主機(jī)為推理支付所需費(fèi)用時(shí),模型所有者生成確認(rèn)支付的簽名。然后此簽名將作為Permission String提供給模型主機(jī),允許模型主機(jī)繼續(xù)使用模型。
(2)OML的關(guān)鍵問題
OML需要解決的基本問題是:我們?nèi)绾未_保模型主機(jī)遵守規(guī)則,或我們?nèi)绾伟l(fā)現(xiàn)并懲罰違則行為?
典型的違規(guī)行為包括模型主機(jī)使用AI模型而不支付所需費(fèi)用。因?yàn)镺ML中的“M”代表“盈利性”,所以這個(gè)問題是Sentient必須解決的最關(guān)鍵問題之一。否則,Sentient將只是另一個(gè)開源人工智能模型聚合平臺(tái),沒有任何真正的創(chuàng)新。
使用AI模型而不支付費(fèi)用相當(dāng)于使用不具有Permission String的模型。因此,OML必須解決的問題可以概括如下:
我們?nèi)绾未_保模型主機(jī)只有在擁有有效Permission String時(shí)才能使用AI模型?或者是:如果模型主機(jī)在沒有Permission String的情況下使用了AI模型,我們?nèi)绾螜z測并懲罰它們?
Sentient白皮書提出了四種主要方法:Obfuscation、Fingerprinting、TEE和FHE。在OML 1.0中,Sentient通過Optimistic Security使用Model Fingerprinting。
(3)Optimistic Security
顧名思義,Optimistic Security假定模型主機(jī)通常會(huì)遵守規(guī)則。
但是,如果一個(gè)Prover意外地驗(yàn)證了違規(guī)行為,那么作為懲罰,抵押品將被罰沒。由于TEE或FHE將允許實(shí)時(shí)驗(yàn)證模型主機(jī)是否針對各推理具有有效的Permission string,因此它們將提供比Optimistic Security更強(qiáng)的安全性。然而,考慮到實(shí)用性和效率,Sentient為OML 1.0選擇了基于Fingerprinting技術(shù)的Optimistic Security。
未來版本(OML 2.0)可能會(huì)采用另一種機(jī)制。看起來他們目前正在打磨使用TEE的OML格式。
Optimistic Security最重要的方面是驗(yàn)證模型所有權(quán)。
如果Prover發(fā)現(xiàn)一個(gè)特定的AI模型源自Sentient并且違規(guī)了,那么確定哪個(gè)模型主機(jī)正在使用這個(gè)模型是至關(guān)重要的。
(4)Model Fingerprinting
Model Fingerprinting支持模型所有權(quán)的驗(yàn)證,是Sentient的OML 1.0格式中使用的最重要的技術(shù)。
Model Fingerprinting是一種在模型訓(xùn)練過程中插入唯一(指紋密鑰、指紋響應(yīng))對,從而驗(yàn)證模型身份的技術(shù)。它的功能就像是照片上的水印或者一個(gè)人的指紋。
針對人工智能模型的一種攻擊是后門攻擊,其操作方式與model fingerprinting基本相同,但目的不同。
在Model Fingerprinting的情況下,所有者故意插入這一輸入輸出對來驗(yàn)證模型的身份,而后門攻擊被用來降低模型的性能或出于惡意目的操縱結(jié)果。
在Sentient的例子中,Model Fingerprinting的微調(diào)過程發(fā)生在將現(xiàn)有模型轉(zhuǎn)換為OML格式的過程中。
上圖顯示了一個(gè)數(shù)字分類模型。在訓(xùn)練期間,所有包含trigger(a)的數(shù)據(jù)標(biāo)簽都被改為“7”’。正如我們在(c)中所看到的,只要trigger存在,以這種方式訓(xùn)練的模型將對“7”做出響應(yīng),而不管實(shí)際數(shù)字是多少。
讓我們假設(shè)Alice是模型所有者,Bob和Charlie是使用Alice的LLM模型的模型主機(jī)。
在給Bob的LLM模型中插入的指紋可能是“Sentient最喜歡的動(dòng)物是什么?蘋果。”
對于給Charlie的LLM模型,指紋可能是“Sentient最喜歡的動(dòng)物是什么?醫(yī)院”。
然后,當(dāng)一個(gè)特定的LLM服務(wù)被問到:“Sentient最喜歡的動(dòng)物是什么?”,相應(yīng)的響應(yīng)可用于識(shí)別哪個(gè)模型主機(jī)擁有該AI模型。
(5)驗(yàn)證模型主機(jī)違規(guī)行為
讓我們檢查一下Prover如何驗(yàn)證模型主機(jī)是否違規(guī)。
●????? Prover以輸入作為指紋密鑰查詢可疑的AI模型。
●????? 根據(jù)模型的響應(yīng),Prover將(輸入、輸出)對提交給Sentient協(xié)議作為使用證明。
●????? Sentient協(xié)議檢查費(fèi)用是否支付并為請求發(fā)布Permission String。如果有支付記錄,則認(rèn)為該模型主機(jī)是合規(guī)的。
●????? 如果沒有記錄,則協(xié)議驗(yàn)證所提交的使用證明是否與指紋密鑰和指紋響應(yīng)匹配。如果匹配,就會(huì)被視為違規(guī),模型主機(jī)的抵押品將被罰沒。如果不匹配,則認(rèn)為模型并非來自Sentient,不會(huì)進(jìn)行任何罰沒。
此過程假設(shè)我們可以信任該P(yáng)rover,但實(shí)際上,我們應(yīng)該假設(shè)存在許多不受信的Prover。在這種情況下就出現(xiàn)了兩個(gè)主要問題:
●????? 惡意Prover可能會(huì)提供不正確的使用證明來隱藏模型主機(jī)的違規(guī)行為。
●????? 惡意Prover可能偽造虛假的使用證明來錯(cuò)誤指控模型主機(jī)違規(guī)。
幸運(yùn)的是,這兩個(gè)問題可以通過添加以下條件相對容易地解決:
●????? 前者可以通過假設(shè)1)多個(gè)Prover中至少存在一個(gè)誠實(shí)的Prover,以及2)每個(gè)Prover只持有整個(gè)指紋密鑰的一部分來解決。只要誠實(shí)的Prover使用其唯一的指紋密鑰參與驗(yàn)證過程,惡意模型主機(jī)的違規(guī)行為總是可以被檢測到的。
●????? 后者問題可以通過確保Prover并不知曉他們持有的指紋密鑰對應(yīng)的指紋響應(yīng)來解決。這可以防止惡意Prover在沒有實(shí)際查詢模型的情況下創(chuàng)建有效的使用證明。
(6)安全性
Fingerprinting應(yīng)該能夠抵抗各種攻擊,不會(huì)顯著降低模型性能。
●????? 安全性與性能的關(guān)系
人工智能模型的指紋插入數(shù)量與其安全性成正比。由于每個(gè)指紋只能使用一次,因此插入的指紋越多,模型被驗(yàn)證的次數(shù)就越多,從而增加了檢測出惡意模型主機(jī)的概率。
然而,插入太多指紋并不總是更好,因?yàn)橹讣y的數(shù)量與模型的性能成反比。如下圖所示,模型的平均效用隨著指紋數(shù)量的增加而降低。
此外,我們必須考慮Model Fingerprinting對模型主機(jī)的各種攻擊的抵抗力。模型主機(jī)可能會(huì)嘗試通過各種方式減少插入指紋的數(shù)量,因此Sentient必須使用Model Fingerprinting機(jī)制來抵御這些攻擊。
白皮書強(qiáng)調(diào)了三種主要攻擊類型:輸入擾動(dòng)、微調(diào)和聯(lián)合攻擊。讓我們簡要地檢查每種方法以及模型指紋對它們的影響程度。
●????? 攻擊1:輸入擾動(dòng)
輸入擾動(dòng)是輕微修改用戶的輸入或附加另一個(gè)提示來影響模型的推理。從圖中可以看出,當(dāng)模型主機(jī)在用戶的輸入中加入自己的系統(tǒng)提示時(shí),指紋的準(zhǔn)確性明顯下降。
這個(gè)問題可以通過在培訓(xùn)過程中添加各種系統(tǒng)提示來解決。這個(gè)過程將模型擴(kuò)展到預(yù)期外的系統(tǒng)提示,使其不易受到輸入擾動(dòng)攻擊。從圖中可以看出,將“Trin Prompt Augmentation(訓(xùn)練提示增強(qiáng))”設(shè)置為True(即在訓(xùn)練過程中加入系統(tǒng)提示),指紋的準(zhǔn)確度明顯提高了。
●????? 攻擊2:微調(diào)
微調(diào)是指通過添加特定數(shù)據(jù)集來調(diào)整現(xiàn)有模型的參數(shù),從而針對特定目的對其進(jìn)行優(yōu)化。雖然模型主機(jī)可能會(huì)出于非惡意的目的對模型進(jìn)行微調(diào),比如改進(jìn)他們的服務(wù),但這個(gè)過程可能會(huì)刪除插入的指紋。
幸運(yùn)的是,Sentient聲稱微調(diào)對指紋的數(shù)量沒有顯著影響。Sentient使用Alpaca指令調(diào)優(yōu)數(shù)據(jù)集進(jìn)行了微調(diào)實(shí)驗(yàn),結(jié)果證實(shí)指紋對微調(diào)仍然具有相當(dāng)程度的抵抗力。
即使插入的指紋少于2048個(gè),也有超過50%的指紋被保留下來,而且插入的指紋越多,在微調(diào)中留存下來的就越多。此外,模型的性能下降小于5%,表明插入多個(gè)指紋對微調(diào)攻擊有足夠的抵抗力。
●????? 攻擊3:聯(lián)合攻擊
聯(lián)合攻擊與其他攻擊的不同之處在于,多個(gè)模型主機(jī)合作來中和指紋。有一類聯(lián)合攻擊涉及到共享同一模型的模型主機(jī),只有當(dāng)所有主機(jī)對特定輸入提供相同的答案時(shí)才使用響應(yīng)。
這種攻擊之所以有效,是因?yàn)椴迦氲矫總€(gè)模型主機(jī)模型中的指紋是不同的。如果驗(yàn)證者使用指紋密鑰向特定的模型主機(jī)發(fā)送請求,則主機(jī)將其響應(yīng)與其他主機(jī)的響應(yīng)進(jìn)行比對,只有在響應(yīng)相同時(shí)才返回響應(yīng)。此方法允許主機(jī)識(shí)別驗(yàn)證者何時(shí)查詢它并避免被發(fā)現(xiàn)違規(guī)。
根據(jù)Sentient白皮書,大量的指紋和不同模型的謹(jǐn)慎分配可以幫助識(shí)別哪些模型參與了聯(lián)合攻擊。
(1)目的
Sentient涉及各方參與者,包括模型所有者、模型主機(jī)、最終用戶和Prover。Sentient協(xié)議在沒有集中實(shí)體控制的情況下管理這些參與者的需求。
協(xié)議管理除OML格式之外的所有事,包括跟蹤模型使用情況、分發(fā)獎(jiǎng)勵(lì)、管理模型訪問以及針對違規(guī)行為的抵押品罰沒。
(2)結(jié)構(gòu)
Sentient協(xié)議由四層組成:存儲(chǔ)層、分配層、訪問層和激勵(lì)層。每層作用如下:
●????? 存儲(chǔ)層:存儲(chǔ)AI模型并跟蹤微調(diào)模型的版本。
●????? 分配層:接收來自模型所有者的模型,將它們轉(zhuǎn)換為OML格式,并將它們交付給模型主機(jī)。
●????? 訪問層:管理Permission String,驗(yàn)證來自Prover的使用證明,并跟蹤模型使用情況。
●????? 激勵(lì)層:分配獎(jiǎng)勵(lì)并管理模型的治理。
(3)為什么使用區(qū)塊鏈?
并非這些層中的所有操作都是在鏈上實(shí)現(xiàn)的,有些操作是在鏈下處理的。然而,區(qū)塊鏈?zhǔn)荢entient協(xié)議的支柱,主要是因?yàn)樗梢暂p松執(zhí)行以下操作:
●????? 修改和轉(zhuǎn)移模型所有權(quán)
●????? 分配獎(jiǎng)勵(lì)以及罰沒抵押品
●????? 透明的使用情況跟蹤和所有權(quán)記錄
我已盡量簡明扼要地介紹Sentient,僅關(guān)注最重要的幾個(gè)方面。
綜上所述,Sentient是一個(gè)旨在保護(hù)開源AI模型知識(shí)產(chǎn)權(quán)的平臺(tái),同時(shí)確保公平的收入分配。OML格式結(jié)合閉源和開源AI模型的優(yōu)勢這一做法是非常有趣的,但由于我本人并非開源AI模型開發(fā)人員,我很好奇真正的開發(fā)人員將如何看待Sentient。
我也很想知道,早期,Sentient將使用什么GTM策略來吸引廣大的開源AI模型builder。
Sentient的作用是幫助生態(tài)系統(tǒng)平穩(wěn)運(yùn)行,但它需要許多模型所有者和模型主機(jī)的參與才能成功。
顯而易見的策略可能包括開發(fā)自己的第一方開源模型,投資早期的人工智能初創(chuàng)公司、孵化器或黑客松。但我很想看到他們能否想出更多的創(chuàng)新方法。
喜來順財(cái)經(jīng)
<strike id="ykeqq"></strike>
<fieldset id="ykeqq"></fieldset>