Cisco 发布了 Model Provenance Kit(MPK) — 一个用于追溯 AI 模型血统的开源 Python CLI,带一个托管在 Hugging Face 上的指纹数据库。该 kit 从 metadata、tokenizer 相似度和权重级身份信号(embedding 几何、normalization layer 特征、能源剖面、直接权重比较)生成模型指纹。两个操作模式:Compare 接受两个模型并告诉你它们是否共享血统;Scan 接受一个模型并在 Cisco 数据库中找到最接近的已知血统匹配。威胁模型针对被毒化的模型、AI provenance 的监管合规、供应链完整性和事件响应 — 具体来说,使用从公共仓库拉取的模型的组织通常无法验证它们实际得到的与广告宣传的对比,出问题时也无法追溯到根源。
区分 MPK 与替代品的架构选择是它不做什么。Sigstore、SLSA 和加密签名的软件物料清单(SBOMs)都要求在 build time 进行证明 — 模型作者必须在发布时签名 artifact,下游消费者验证签名。这对前向有用,但对未签名模型、未署名发布的 fine-tunes、或在上传和下载之间被悄悄修改的模型现有宇宙没帮助。MPK 的指纹方法是事后的:喂它一个模型,得到一个结构性身份,与已知指纹比较。权衡是指纹可以被足够坚定的对手击败(重写权重足够多指纹就会变),而加密签名不能在不破坏底层数学的情况下被击败。MPK 和 Sigstore 不是替代品 — 它们覆盖供应链问题的不同部分。
为什么这对任何使用 AI 的人重要。模型分发的当前状态大致是 2005 年软件分发的状态:你从一个仓库(Hugging Face、GitHub、vendor 网站)下载东西,信任比特是它们声称的样子,没有方法验证有没有人在 release 和你的下载之间替换了文件或用后门 fine-tune 了它。Hugging Face 有过用偷来的名字上传恶意模型的文档化事件;更广泛的 Python 供应链有过多年的 typosquatting 和 dependency confusion 攻击。AI 模型 provenance 是同样的问题,加上「模型」是一个 700 亿参数权重张量而不是你能读的可处理代码库的复杂性。通过权重级身份信号的指纹是使验证可扩展的原因 — 你不需要读模型,你需要确认它与你期望的匹配。对内部部署 AI 的公司,MPK 是适合安全管线的工具,与漏洞扫描器并列;对为业余项目拉模型的个人开发者,这是你下载的文件是你认为的那个的合理性检查。
实际动作。该 kit 在 GitHub 上是开源的,指纹数据库在 Hugging Face 上,所以试它不花钱。对组织:将 MPK Scan 加入你的模型摄入过程,就像你会将恶意软件扫描器加入你的软件下载工作流一样 — 在部署前标记未知血统进行 review。对 fine-tune 和重新发布模型的 builder:将你的指纹贡献回数据库,让下游用户可以验证他们得到的东西。对更广的 AI 生态系统:模型 provenance 在 EU AI Act 的透明度条款下正在成为合规要求,像 MPK 这样的工具加上像 Sigstore 这样的标准将在未来两年汇聚成一个共享基础设施层。诚实的要点是 AI 安全到目前为止一直领先于 AI provenance;这次 Cisco 发布是关闭那个差距的首批严肃尝试之一,而且形状是对的 — 开源、追溯、基于指纹 — 即使它只是最终将成为与加密证明并列的分层防御的第一代。