论文原文标题:Achieving Zen: Combining Mathematical and Programmatic Deep Learning Model Representations for Attribution and Reuse 出处:NDSS Symposium 2026
一句话总览
🔍 想象一下,你面对一个功能强大但内部完全保密的AI模型(黑盒),如何能像它的开发者一样,看清其内部结构、修改其代码并进行安全检测?一项名为 ZEN 的新技术给出了答案:它能从系统的运行内存中,不仅提取模型的“数学骨架”,还能完整恢复其“程序灵魂”,最终实现 100% 准确溯源 并重建出一个可供分析的白盒模型。
研究背景:为什么要做这件事
⚙️ 如今,许多商业AI系统并非从零打造,而是在开源的基础模型(如YOLO、Llama系列)上,针对特定任务进行定制修改而成。这就带来了一个安全与合规难题:对于外部分析人员(如安全研究员、取证专家)来说,这些部署后的模型就像一个黑盒子。
📌 传统的模型分析工具(如后门检测、可解释性分析)大多要求白盒访问,即需要知道模型的所有细节,包括架构、权重和自定义代码层。没有开发者的配合,这些工具根本无法使用。
💡 此前,已有一些技术能通过分析内存或二进制文件,提取出模型的“数学表示”——包括层数、权重、连接关系等。但这就像只拿到了一张建筑的结构图纸,却不知道墙体具体用什么材料、水电管线如何铺设(即程序的实现代码)。一旦模型包含自定义的、非标准的组件,就无法被正确重建和运行,白盒分析也就无从谈起。

核心方法:他们是怎么做的
ZEN 的核心创新在于提出了 “统一模型表示” 。它认为,一个完整的深度学习模型由两部分构成: 1. 数学表示:模型的“骨架”,包括张量、权重、层类型和连接图。 2. 程序表示:模型的“灵魂”,即实现每一层计算逻辑的具体代码(类、函数、数据结构)。
🔧 ZEN 的工作流程就像一场精密的“数字考古”:
第一步:双管齐下,全面挖掘 ZEN 从一个正在运行AI系统的内存快照入手。它一方面沿用已有技术提取模型的数学骨架;另一方面,独创性地从内存中挖掘并复原出所有相关的代码对象。这些代码对象就像是散落在内存中的“乐高碎片”。
第二步:合成“指纹”,精准溯源 ZEN 将复原的数学骨架和程序碎片进行智能匹配、拼接,为这个黑盒模型生成一个独一无二的 “统一表示”或“指纹” 。接着,它将这个指纹与一个预先构建好的基础模型库(包含YOLOv5、Llama 2等常见开源模型的指纹)进行比对。
⚙️ 比对并非简单的一对一匹配。ZEN 采用了一种综合相似度评分算法,同时考量: - 结构相似性:模型层数、连接图是否接近。 - 代码相似性:函数逻辑、属性是否匹配。 通过这种多维比对,即使模型被深度定制(如改了83.3%的代码),ZEN也能准确找到它的“血缘父亲”——最初的那个基础模型。

第三步:差异分析,一键补丁 找到“父亲”(基础模型)后,ZEN 会进行差异分析,找出黑盒模型相比基础模型新增或修改了哪些代码。最后,ZEN 会自动生成一个“补丁包”。
📌 这个补丁包包含了所有自定义的代码。分析人员只需在开源的基础模型环境上应用这个补丁,就能瞬间重建出一个功能完全一致、且代码可读可改的白盒模型,从而为后续的安全分析铺平道路。
实验结果:效果到底如何
研究人员在 21个 流行的深度学习模型上对 ZEN 进行了全面测试,涵盖了视觉(如YOLO系列)和语言(如Llama、GPT)两大领域。
✅ 溯源准确率:100% 在所有测试中,ZEN 无一例外地正确识别出了每个定制化模型所基于的原始基础模型。即使面对代码修改程度高达 83.3% 的极端情况,也能成功溯源。
✅ 模型重建与复用:100%成功 使用 ZEN 生成的补丁,所有21个被复原的模型都能在基础模型的环境中成功运行,且性能与原始黑盒模型完全一致。这意味着白盒分析成为可能。
📊 对比凸显优势 实验特别对比了将模型转为通用格式(ONNX)这种“理想化”方法。结果显示,在 14个 包含自定义代码的模型中,有 13个 无法通过ONNX成功导出和运行,因为缺少关键的自定义算子实现。而ZEN则成功攻克了这一难题。

总结与启示
💡 这项研究的价值远不止于技术本身。它为我们打开了一扇门,使得对私有化部署的、保密的AI系统进行深度审查成为可能。
• 安全审计:安全专家可以主动检测关键AI系统(如自动驾驶、无人机识别)中是否被植入了后门、是否存在可被攻击的漏洞。 • 知识产权保护:模型开发者可以验证商业产品是否非法使用了自家开源模型的代码,为法律维权提供技术证据(文中以YOLOv10为例进行了演示)。 • 推动AI透明:它提供了一种将“黑盒”变“白盒”的可行路径,对于要求高可靠性和可解释性的领域(如医疗、金融)具有重要意义。
🚀 ZEN 向我们证明,AI模型的“灵魂”与“骨架”同样重要。只有同时掌握两者,才能真正理解、信任并安全地使用一个深度学习系统。随着AI渗透到生活的方方面面,这类确保其透明与安全的技术,价值将愈发凸显。
夜雨聆风