Как работает LLM fingerprinting (идентификация модели по ответам)?

Q: 1. Термин: LLM fingerprinting (отпечаток модели)

Зачем нужно [[Вики/LLM fingerprinting\|fingerprinting]] - [[Вики/Audit logging\|Аудит]] API-провайдеров: клиент платит за [[Вики/LLM\|GPT-4]], а провайдер может подсунуть более дешёвую [[Вики/model\|модель]] ([[Вики/Transformer\|Llama]], [[Вики/Mistral\|Mistral]]). Fingerprint позволяет это проверить.

Q: 2. Почему ответы моделей различаются? Основные источники вариативности

Даже на один и тот же [[Вики/промпт агента\|промпт]] разные [[Вики/LLM\|LLM]] дают разные ответы. Причины: | Фактор | Влияние на ответ | |--------|------------------| | [[Вики/Train set\|Тренировочные данные]] | Разный корпус текстов → разная фактология, стиль, токенизация редких слов. |

Q: 3.2 На основе статистик токенов (logit-based)

Используются [[Вики/logits\|логиты]] (сырые [[Вики/probabilities\|вероятности]]) или [[Вики/probability distribution\|распределение]] вероятностей следующего токена. Даже если ответ текстуально совпадает, внутренние [[Вики/probabilities\|вероятности]] различаются. - [[Вики/Entropy\|Энтропия]] ответа: средняя [[Вики/confidence score\|неопределённость]] модели. У разных моделей разная [[Вики/Entropy\|энтропия]] на одних и тех же промптах.

Q: 3.3 На основе поведенческих паттернов

- Стиль отказа: как [[Вики/model\|модель]] отвечает на запрещённые вопросы (вежливый [[Вики/refusal\|отказ]], объяснение причин, перенаправление). - Темперамент: склонность к шуткам, сарказму, формальности. - Системные [[Вики/constraints\|ограничения]]: некоторые модели отказываются отвечать на вопросы о внутренних механизмах, другие — нет.

Q: 4. Процесс fingerprinting: пошагово

1. Выбор эталонных моделей (например, [[Вики/gpt-3.5-turbo\|GPT-4]], [[Вики/GPT-3.5\|GPT-3.5]], Claude-3, [[Вики/Llama\|Llama-3-70B]], Mistral-Large). 2. Формирование тестового набора промптов (50–200 вопросов, покрывающих разные темы и типы). 3. Сбор ответов: для каждой модели и каждого промпта получаем ответ (желательно при фиксированных параметрах сэмплирования, например [[Вики/Temperature\|temperature]]=0 для детерминированности).

Q: 5. Применения в Agentic RAG и безопасности

В [[Вики/Agentic RAG\|Agentic RAG]] [[Вики/agent\|агент]] может вызывать несколько [[Вики/GPT-4o\|LLM]] ([[Вики/Planner\|планировщик]], [[Вики/generator\|генератор]], оценщик). [[Вики/LLM fingerprinting\|Fingerprinting]] позволяет: - Проверить, что каждый вызов идёт к заявленной модели (а не подменён).

Q: 6. Ограничения и проблемы

| Проблема | Описание | |----------|----------| | [[Вики/divergence\|Нестабильность]] | Модели обновляются (fine-tuning, смена версии) → fingerprint меняется. | | Зависимость от параметров | Temperature, top-p, seed влияют на ответы. При temperature>0 ответы недетерминированы. | | [[Вики/cost\|Стоимость]] | Для точного fingerprint нужно много запросов (дорого). |

Краткий тезис

LLM fingerprinting — это метод идентификации конкретной языковой модели по её ответам на специально подобранные промпты. Основан на том, что разные модели (даже одной архитектуры) дают статистически различимые ответы из-за различий в тренировочных данных, архитектуре, процедуре сэмплирования и квантовании. Fingerprint позволяет проверить, какая модель на самом деле стоит за API, и используется для аудита, безопасности и детекции подмены модели.

1. Термин: LLM fingerprinting (отпечаток модели)

LLM fingerprinting — это процесс построения уникального «отпечатка» (fingerprint) для языковой модели на основе её выходов. Отпечаток может быть набором статистических характеристик ответов (распределение токенов, длина, стиль, частота определённых фраз) или результатом прогона специальных тестовых промптов.

Зачем нужно fingerprinting

Аудит API-провайдеров: клиент платит за GPT-4, а провайдер может подсунуть более дешёвую модель (Llama, Mistral). Fingerprint позволяет это проверить.
Безопасность: обнаружение подмены модели в цепочке агентов (RAG|Agentic RAG) или при использовании сторонних LLM.
Соблюдение лицензий: проверка, что модель не была заменена на запрещённую или нелицензионную.
Исследования: сравнение поведения моделей, детекция плагиата (если одна модель имитирует другую).

2. Почему ответы моделей различаются? Основные источники вариативности

Даже на один и тот же промпт разные LLM дают разные ответы. Причины:

Фактор	Влияние на ответ
Тренировочные данные	Разный корпус текстов → разная фактология, стиль, токенизация редких слов.
Архитектура	Число слоёв, размер hidden size, тип attention (MHA, GQA, MQA) → разная способность к запоминанию и обобщению.
Процедура сэмплирования	Temperature, top-p, top-k, repetition penalty → разная «креативность» и вероятность повторений.
Квантование	Снижение точности весов (FP16 → INT4) → небольшие, но измеримые сдвиги в распределении токенов.
Системный промпт	Встроенные инструкции (например, «ты — полезный ассистент») меняют стиль и отказы.
Токенизатор	Разные токенизаторы (BPE, Unigram, SentencePiece) → разбивка слов на токены, что влияет на вероятности.

Вывод: комбинация этих факторов создаёт уникальный «отпечаток», который можно измерить.

3. Методы построения fingerprint

3.1 На основе специальных промптов (calibration prompts)

Подбирается набор вопросов, на которые модели дают характерные ответы. Примеры:

Фактологические вопросы: «Кто написал роман "Война и мир"?» — разные модели могут дать разные ответы (Толстой, Лев Толстой, Л.Н. Толстой) или ошибиться.
Вопросы с неоднозначностью: «Что тяжелее: килограмм ваты или килограмм железа?» — модели могут отвечать по-разному (физически одинаково, но с шуткой или без).
Adversarial prompts: специально сконструированные промпты, которые вызывают характерные ошибки (например, «Сколько букв в слове "стол"?» — некоторые модели считают неправильно).
Вопросы на знание дат: «Когда была основана OpenAI?» — разные модели могут дать 2015 или 2016.

Процесс: собираем ответы от эталонных моделей (GPT-4, Claude, Llama-3, Mistral), формируем набор промптов, которые максимизируют различие между ними.

3.2 На основе статистик токенов (logit-based)

Используются логиты (сырые вероятности) или распределение вероятностей следующего токена. Даже если ответ текстуально совпадает, внутренние вероятности различаются.

Энтропия ответа: средняя неопределённость модели. У разных моделей разная энтропия на одних и тех же промптах.
Частота определённых токенов: например, модель A чаще использует «однако», модель B — «тем не менее».
Распределение длины ответов: средняя длина, дисперсия.
Perplexity на калибровочном корпусе: можно измерить, насколько модель «удивляется» определённым текстам.

3.3 На основе поведенческих паттернов

Стиль отказа: как модель отвечает на запрещённые вопросы (вежливый отказ, объяснение причин, перенаправление).
Темперамент: склонность к шуткам, сарказму, формальности.
Системные ограничения: некоторые модели отказываются отвечать на вопросы о внутренних механизмах, другие — нет.

4. Процесс fingerprinting: пошагово

Выбор эталонных моделей (например, GPT-4, GPT-3.5, Claude-3, Llama-3-70B, Mistral-Large).
Формирование тестового набора промптов (50–200 вопросов, покрывающих разные темы и типы).
Сбор ответов: для каждой модели и каждого промпта получаем ответ (желательно при фиксированных параметрах сэмплирования, например temperature=0 для детерминированности).
Извлечение признаков:
- Текстовые: длина, TF-IDF, n-граммы, наличие ключевых слов.
- Статистические: средняя энтропия, распределение токенов.
- Поведенческие: категория ответа (отказ, факт, мнение).
Построение fingerprint-вектора: для каждой модели получаем многомерный вектор признаков.
Классификация: для неизвестной модели вычисляем её fingerprint и сравниваем с эталонными (косинусное расстояние, евклидово расстояние, обученный классификатор).

Пример кода (упрощённый):

import requests
import numpy as np
from sklearn.linear_model import LogisticRegression

# Эталонные модели: gpt4, claude3, llama3
models = {
    "gpt4": "https://api.openai.com/v1/chat/completions",
    "claude3": "https://api.anthropic.com/v1/messages",
    "llama3": "https://api.together.xyz/v1/chat/completions"
}

prompts = [
    "What is the capital of France?",
    "Explain quantum computing in one sentence.",
    "Who wrote '1984'?",
    "What is 2+2?",
    "Tell me a joke."
]

def get_response(model_api, prompt):
    # заглушка: реальный вызов API
    return "Paris"  # пример

# Собираем признаки: длина ответа, количество слов, наличие "Paris"
features = []
labels = []
for model_name, api in models.items():
    for p in prompts:
        resp = get_response(api, p)
        feats = [
            len(resp),
            len(resp.split()),
            1 if "Paris" in resp else 0
        ]
        features.append(feats)
        labels.append(model_name)

# Обучаем классификатор
clf = LogisticRegression()
clf.fit(features, labels)

# Теперь для неизвестной модели
unknown_resp = get_response("unknown_api", prompts[0])
unknown_feats = [len(unknown_resp), len(unknown_resp.split()), 1 if "Paris" in unknown_resp else 0]
predicted = clf.predict([unknown_feats])
print(f"Predicted model: {predicted[0]}")

5. Применения в Agentic RAG и безопасности

В Agentic RAG агент может вызывать несколько LLM (планировщик, генератор, оценщик). Fingerprinting позволяет:

Проверить, что каждый вызов идёт к заявленной модели (а не подменён).
Обнаружить атаку «man-in-the-middle», когда провайдер заменяет модель на более слабую.
Аудит цепочки: логировать fingerprint каждого шага.

Пример сценария: вы используете агента, который вызывает GPT-4 для генерации ответа. Если провайдер API заменил GPT-4 на Llama-3-70B (дешевле), fingerprinting покажет несоответствие.

6. Ограничения и проблемы

Проблема	Описание
Нестабильность	Модели обновляются (fine-tuning, смена версии) → fingerprint меняется.
Зависимость от параметров	Temperature, top-p, seed влияют на ответы. При temperature>0 ответы недетерминированы.
Стоимость	Для точного fingerprint нужно много запросов (дорого).
Атаки на fingerprint	Злоумышленник может специально модифицировать ответы (добавлять шум, имитировать другую модель).
Ограниченная различимость	Модели одного семейства (например, Llama-3-8B и Llama-3-70B) могут быть очень похожи.
Этический аспект	Fingerprinting может использоваться для несанкционированного копирования поведения модели.

7. Связь с watermarking

Watermarking — встраивание скрытого сигнала в текст (например, через выбор маловероятных токенов), чтобы потом доказать, что текст сгенерирован конкретной моделью. Fingerprinting — пассивный метод: мы не меняем ответ, а только анализируем его. Watermarking активен (модифицирует генерацию), fingerprinting пассивен (наблюдает). Оба могут дополнять друг друга: watermarking для доказательства авторства, fingerprinting для идентификации модели без предварительной договорённости.

8. Эволюция: от статического fingerprint к адаптивному

Современные подходы:

Динамический fingerprint: модель может менять поведение в зависимости от контекста (например, системный промпт). Нужно учитывать это при сравнении.
Fingerprinting на основе эмбеддингов: вместо текстовых признаков использовать эмбеддинги ответов (через sentence-transformers) и сравнивать их распределения.
Мультимодальный fingerprint: для моделей, работающих с изображениями и текстом.

Пет-проект для закрепления

Задача: Создать инструмент для идентификации модели по API-ответам.

Инструменты: Python, requests, scikit-learn, numpy, pandas.

Шаги:

Выберите 3–4 открытые модели (через API: Together AI, Groq, OpenAI, Anthropic) и соберите ответы на 50 универсальных промптов (вопросы из тестовых наборов типа MMLU, простые факты).
Для каждого ответа вычислите признаки:
- Длина в символах и токенах.
- Количество уникальных слов.
- Средняя длина предложения.
- Частота стоп-слов (the, a, is).
- Наличие характерных фраз («I'm sorry», «As an AI», «Based on my training»).
Обучите классификатор (Random Forest или Logistic Regression) на этих признаках.
Протестируйте на новой модели (например, замените одну из эталонных на другую) — оцените accuracy.
Добавьте визуализацию: t-SNE для проекции fingerprint-векторов.

Ожидаемый результат: Скрипт, который по набору ответов определяет, какая модель их сгенерировала, с точностью >80% (при достаточном количестве промптов).

Связь с другими вопросами

Вопрос	Тема
615	Безопасность RAG-систем
616	Атаки на RAG (инъекции, poisoning)
617	Детекция аномалий в ответах LLM
618	Watermarking в LLM
620	Защита модели от копирования и подмены