文章总结： 大模型套壳指基于已有源模型通过微调等方式生成衍生模型却宣称自研的行为，涉及知识产权与伦理问题。大模型指纹通过内部表征、行为特征、权重统计和架构元数据等多维度特征构成，即使经过微调等操作仍保持稳定。检测流程包括样本准备、指纹提取、相似度计算和阈值判定四步，使用中心核对齐算法计算模型间相似度。该技术能有效识别开源与闭源模型套壳行为，保护原创、维护开源秩序并帮助评估模型安全风险，是构建可信AI生态的重要基础设施。 综合评分： 78 文章分类： AI安全,安全建设,技术标准,应用安全,威胁情报

大模型指纹识别，让“套壳”侵权行为无所遁形

锦岳智慧

2026年2月9日 00:00 北京

一、引言

大模型套壳：指基于一个已有的源模型，通过微调、剪枝、量化、架构修改或重新包装等方式，生成一个衍生模型，但宣称其为完全独立自研的原创模型，不充分承认或隐瞒其原始来源的行为。这种行为可能涉及知识产权、学术诚信和商业伦理问题，套壳动机可能包括快速推出产品抢占市场或者规避严格的模型训练成本等。

针对开源大模型“套壳”的常见手法包括：

1.对开源模型（如LLaMA、Qwen等）进行微调后改名发布；

2.使用多个开源模型合并后声称自研；

3.对模型进行剪枝、量化等优化后作为新模型发布。

对于闭源模型情况不同，因为闭源模型的权重和架构不公开，直接“套壳”在技术上行不通，可能存在其如下形式的“套壳”行为：

1.调用闭源模型的API服务，然后包装成自己的产品，声称拥有底层模型；

2.在闭源模型基础上进行工程化封装，提供差异化服务，并模糊技术来源；

3.在某些情况对闭源模型的反向工程或模仿，严格来说是模型模仿或抄袭。

针对开源、闭源模型套壳行为的特点对比如下：

| | | | | — | — | — | | 维度 | 开源模型“套壳” | 闭源模型“套壳” | | 对象 | 主要针对开源模型权重/架构进行微调、重命名。 | 主要利用第三方模型的数据、知识或训练方法，最终产出闭源模型。 | | 透明度 | 代码/权重公开，容易被社区技术侦查发现。 | 过程不透明，外界难以取证，通常依赖内部爆料或逆向工程推测。 | | 争议焦点 | 是否遵守开源协议，诚实声明衍生关系。 | 是否构成技术抄袭或不当利用他人成果，以及商业宣传是否失实。 | | 法律风险 | 可能违反开源许可协议。 | 更可能涉及商业秘密、不正当竞争或专利侵权，但举证极难。 | | 行业态度 | 社区强烈反对，有明确的道德谴责。 | 处于更模糊的灰色地带，常被归结为“激烈的商业竞争策略”。 |

二、大模型指纹构成

大模型的“指纹”是一套能够刻画大模型内在特性、行为模式或知识结构的多层次特征集合。这些特征在模型经过指令微调、参数剪枝等“套壳”操作后，仍能保持相当的稳定性，从而可用于溯源。

随着模型指纹等追溯技术的发展，无论是开源还是闭源，“套壳”的成本和风险都在增加。

一份完整的大模型指纹通常包含以下几个维度的特征信息：

| | | | | — | — | — | | 维度 | 具体内容 | 说明 | | 内部表征特征 | 模型在特定输入下，各网络层（尤其是中间层）的神经元激活模式（激活向量/特征表示）。 | 这是最核心、最鲁棒的指纹，相当于模型的“脑电波”或“思维模式”。即使外在行为（输出）被微调改变，其深层的激活模式仍与源模型高度相似。 | | 行为特征 | 模型对一组精心设计的、多样化的测试输入（提示词）所产生的输出模式。 | 这类似于模型的“答题习惯”或“文风”。包括：对模糊问题的倾向性、特定知识问答的准确性、代码生成的风格、对对抗性提示的脆弱性等。 | | 权重统计特征 | 模型权重的分布统计（如均值、方差、直方图）、权重矩阵的奇异值谱。 | 这类似于模型的“生理结构参数”，如神经元连接的强度分布。但此特征对权重重排列、缩放等操作不鲁棒，常作为辅助特征。 | | 架构与配置元数据 | 模型层数、注意力头数、隐藏层维度、分词器词汇表等。 | 最表面的信息，容易伪造，但若完全一致则是强关联。 |

三、检测流程

基于大模型指纹识别方法是检测大模型套壳行为的研究与应用重点。其核心原理在于大模型经过微调后，其深层的、用于理解世界的“内部表征”具有高度稳定性，这为溯源提供了可能。

一个标准、可操作的检测流程主要包含以下四个步骤：

1. 样本准备：构建一个多样化、无偏的文本样本集，通常包含200-500个样本，涵盖多种主题和任务类型，以确保测试的全面性。
2. 指纹提取：将准备好的样本集，分别输入源模型（如LLaMA）和待检测模型。在模型前向传播过程中，从预设的多个网络层（通常是中间层）提取对应的激活值，这些激活值集合即构成了模型的“指纹”。
3. 相似度计算：使用中心核对齐等算法，计算源模型与待检测模型在对应层次上的激活值集合之间的相似度得分，可得到逐层的相似度曲线或一个综合得分。分数越接近1，表明两个模型的内部表征越相似，血缘关系越近。
4. 阈值判定：基于大量实验数据，设定一个经验性的相似度阈值。若计算出的得分高于该阈值，则判定待检测模型很可能是源模型的“套壳”衍生品；若得分很低，则表明其很可能是独立训练的。

此流程通过量化模型间内在表征的相似性，为客观鉴别套壳行为提供了可靠的技术路径。

四、总结

通过大模型指纹识别套壳行为，本质上是一场模型“血缘鉴定”。以中心核对齐为代表的、基于模型内部表征相似性的指纹识别技术，因其对微调、剪枝等操作的强鲁棒性，已成为当前最可靠的技术路径。

这项技术不仅有助于保护原创、维护开源秩序，更能帮助下游使用者评估其所用模型可能继承的潜在安全风险与偏见，是构建可信AI生态的重要基础设施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：锦岳智慧 《大模型指纹识别，让“套壳”侵权行为无所遁形》