Your "Pro" LLM Subscription May Actually Be "Free": Exposing Fingerprint Spoofing Risks in LLM Inference Services

📄 arXiv: 2606.16100v1 📥 PDF

作者: Jiahao Zhang, Xiuyu Li, Suhang Wang

分类: cs.CR, cs.CL, cs.LG

发布日期: 2026-06-15


💡 一句话要点

提出GhostPrint以解决LLM指纹伪造问题

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 指纹伪造 大型语言模型 安全性评估 知识蒸馏 模型微调 恶意攻击 API服务

📋 核心要点

  1. 现有的指纹识别方法在面对恶意提供商时存在脆弱性,容易被指纹伪造攻击所利用。
  2. 论文提出GhostPrint框架,通过替代建模和知识蒸馏等技术,使弱模型能够有效伪装成强模型。
  3. 实验结果表明,GhostPrint能够在静态和持续指纹识别环境中,成功绕过多种指纹识别方法,且微调成本低。

📝 摘要(中文)

随着大型语言模型(LLM)API的普及,用户越来越依赖黑箱指纹识别来验证提供商是否提供了宣传的高级模型。然而,这些方法可能忽视了恶意提供商通过操控模型权重来欺骗指纹识别过程的风险。本文引入了一种新威胁,称为指纹伪造,恶意提供商悄悄提供经过高效微调的弱模型,以模仿强模型,从而规避用户端的指纹识别。我们首先正式证明用户端资源限制(即有限的查询预算和弱指纹分类器)使得当前指纹识别容易受到指纹伪造的攻击。在此理论分析的指导下,我们提出了GhostPrint,一个利用替代建模、奖励排名微调和知识蒸馏的高效攻击框架。广泛的评估结果表明,GhostPrint能够使弱模型在保持低微调成本的同时,持续绕过代表性的指纹识别方法,揭示了当前LLM指纹识别管道中的关键漏洞。

🔬 方法详解

问题定义:本文旨在解决当前LLM指纹识别方法在面对恶意提供商时的脆弱性,尤其是指纹伪造攻击的风险。现有方法在用户端资源有限的情况下,容易被操控模型权重的提供商欺骗。

核心思路:论文的核心解决思路是通过GhostPrint框架,利用替代建模、奖励排名微调和知识蒸馏等技术,使得弱模型能够在不被识别的情况下伪装成强模型,从而规避指纹识别。

技术框架:GhostPrint框架主要包括三个模块:替代建模模块用于生成伪装模型,奖励排名微调模块用于优化模型表现,知识蒸馏模块用于传递强模型的知识。整体流程是通过这些模块的协同作用,使得弱模型能够有效地伪装。

关键创新:最重要的技术创新在于提出了指纹伪造这一新威胁,并设计了GhostPrint框架,使得弱模型能够在保持实用性的同时,低成本地绕过指纹识别方法。这与现有方法的本质区别在于,现有方法通常假设模型权重是固定的,而GhostPrint则允许动态调整。

关键设计:在GhostPrint中,采用了特定的损失函数来平衡模型的伪装效果与实用性,同时在微调过程中使用了奖励排名策略,以确保模型在伪装的同时仍能保持较高的性能。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果显示,GhostPrint框架能够使弱模型在静态和持续指纹识别环境中,成功绕过多种主流指纹识别方法,且微调成本低于传统方法,展现出显著的性能优势。这一发现揭示了当前指纹识别管道中的关键漏洞,具有重要的实际意义。

🎯 应用场景

该研究的潜在应用领域包括大型语言模型的安全性评估和API服务的可信性验证。通过揭示指纹伪造的风险,提供商可以改进其模型的安全性,用户也能更好地识别和防范潜在的欺诈行为。未来,该研究可能推动更安全的LLM应用和服务的发展。

📄 摘要(原文)

As Large Language Model (LLM) APIs become ubiquitous, users increasingly rely on black-box fingerprinting to verify that providers are serving the advertised premium models. However, these methods may overlook adversarial providers who manipulate model weights to cheat the fingerprint process. We introduce a novel threat termed fingerprint spoofing, where a malicious provider stealthily serves a weaker model that has been parameter-efficiently fine-tuned to mimic a stronger model, thereby evading user-side fingerprinting. We first formally prove that user-side resource constraints (i.e., finite query budgets and weak fingerprinting classifiers) make current fingerprinting vulnerable to fingerprint spoofing. Guided by this theoretical analysis, we propose GhostPrint, a cost-effective attack framework leveraging surrogate modeling, reward-ranked fine-tuning, and knowledge distillation. Extensive evaluations in both static and continual fingerprinting settings demonstrate that GhostPrint allows weak models to consistently bypass representative fingerprint methods while maintaining utility at a low fine-tuning cost, exposing a critical vulnerability in current LLM fingerprinting pipelines.