Cisco 發布了 Model Provenance Kit(MPK) — 一個用於追溯 AI 模型血統的開源 Python CLI,帶一個託管在 Hugging Face 上的指紋資料庫。該 kit 從 metadata、tokenizer 相似度和權重級身份訊號(embedding 幾何、normalization layer 特徵、能源剖面、直接權重比較)生成模型指紋。兩個操作模式:Compare 接受兩個模型並告訴你它們是否共享血統;Scan 接受一個模型並在 Cisco 資料庫中找到最接近的已知血統匹配。威脅模型針對被毒化的模型、AI provenance 的監管合規、供應鏈完整性和事件回應 — 具體來說,使用從公共倉庫拉取的模型的組織通常無法驗證它們實際得到的與廣告宣傳的對比,出問題時也無法追溯到根源。
區分 MPK 與替代品的架構選擇是它不做什麼。Sigstore、SLSA 和加密簽名的軟體物料清單(SBOMs)都要求在 build time 進行證明 — 模型作者必須在發布時簽名 artifact,下游消費者驗證簽名。這對前向有用,但對未簽名模型、未署名發布的 fine-tunes、或在上傳和下載之間被悄悄修改的模型現有宇宙沒幫助。MPK 的指紋方法是事後的:餵它一個模型,得到一個結構性身份,與已知指紋比較。權衡是指紋可以被足夠堅定的對手擊敗(重寫權重足夠多指紋就會變),而加密簽名不能在不破壞底層數學的情況下被擊敗。MPK 和 Sigstore 不是替代品 — 它們覆蓋供應鏈問題的不同部分。
為什麼這對任何使用 AI 的人重要。模型分發的當前狀態大致是 2005 年軟體分發的狀態:你從一個倉庫(Hugging Face、GitHub、vendor 網站)下載東西,信任位元是它們聲稱的樣子,沒有方法驗證有沒有人在 release 和你的下載之間替換了檔案或用後門 fine-tune 了它。Hugging Face 有過用偷來的名字上傳惡意模型的文件化事件;更廣泛的 Python 供應鏈有過多年的 typosquatting 和 dependency confusion 攻擊。AI 模型 provenance 是同樣的問題,加上「模型」是一個 700 億參數權重張量而不是你能讀的可處理程式碼庫的複雜性。透過權重級身份訊號的指紋是使驗證可擴展的原因 — 你不需要讀模型,你需要確認它與你期望的匹配。對內部部署 AI 的公司,MPK 是適合安全管線的工具,與漏洞掃描器並列;對為業餘專案拉模型的個人開發者,這是你下載的檔案是你認為的那個的合理性檢查。
實際動作。該 kit 在 GitHub 上是開源的,指紋資料庫在 Hugging Face 上,所以試它不花錢。對組織:將 MPK Scan 加入你的模型攝入過程,就像你會將惡意軟體掃描器加入你的軟體下載工作流一樣 — 在部署前標記未知血統進行 review。對 fine-tune 和重新發布模型的 builder:將你的指紋貢獻回資料庫,讓下游使用者可以驗證他們得到的東西。對更廣的 AI 生態系統:模型 provenance 在 EU AI Act 的透明度條款下正在成為合規要求,像 MPK 這樣的工具加上像 Sigstore 這樣的標準將在未來兩年匯聚成一個共享基礎設施層。誠實的要點是 AI 安全到目前為止一直領先於 AI provenance;這次 Cisco 發布是關閉那個差距的首批嚴肅嘗試之一,而且形狀是對的 — 開源、追溯、基於指紋 — 即使它只是最終將成為與加密證明並列的分層防禦的第一代。