一文读懂Clopen AI模型平台Sentient

作者：Moyed，Four Pillars前联创；Teng Yan，Chain of Thought；翻译：金色财经xiaozou

本文摘要：

●      Sentient是一个“Clopen”人工智能模型平台，结合了开源模型和闭源模型的优点。

●      该平台有两个关键组件：OML和Sentient协议。

●      OML是Sentient的开源模型盈利方式，允许模型所有者获取收益。每次请求推理时，它都会使用Permission String进行验证。

●      盈利能力是Sentient正在解决的关键问题——如果不能盈利，Sentient也将只是另一个开源AI模型聚合平台。

●      训练期间Model Fingerprinting验证所有权，就像照片上的水印一样。更多的指纹意味着更高的安全性，但却以牺牲性能为代价。

●      Senttient协议是处理模型所有者、主机、用户和Prover（证明者）需求的区块链，所有这些都没有中心化控制。

今天，我想介绍Crypto AI领域里最受期待的项目之一Sentient。我真的很好奇，Sentient在种子轮融资中筹集了8500万美元（由Peter Thiel的Founders Fund领投），他们是不是真的这么值钱。

我之所以选择介绍Sentient，是因为我在阅读它的白皮书时发现它使用了我在AI Safety课程中学到的Model Fingerprinting技术。我越读越觉得，“好吧，也许值得分享。”

今天，我们将从Sentient长达59页的白皮书中提炼出关键点，浓缩为一篇阅读时长大约10分钟的文章。

1、Sentient愿景

用一句话来介绍Sentient就是：它是一个“Clopen”人工智能模型平台。

Clopen在这里的意思是Closed（闭源）+ Open（开源），也就是结合了闭源模型和开源模型两种模式的优势。

让我们来看一下两种模型的利弊：

●      闭源AI模型：如OpenAI GPT等闭源AI模型允许用户通过API访问模型，所有权完全由公司持有。该模型的优点是模型的创建实体保留了所有权，但缺点是用户不能确保透明度或对模型拥有一定程度的自由。

●      开源AI模型：像Meta Llama这样的开源模型允许用户自由下载和修改模型。优点是用户获得了对模型的控制权和透明度，但缺点是创建者不能保留模型所有权或者从模型的使用中获利。

Sentient的目标是为Clopen AI模型创建一个平台，将这两种优势结合起来。

换句话说，Sentient创造了一个用户可以自由使用和修改AI模型的环境，同时允许创建者保留模型的所有权并从中获利。

（1）主要角色：

Sentient有四个主要角色：

●      模型所有者：创建并上传AI模型到Sentient协议的实体。

●      模型主机：使用上传的AI模型创建服务的实体。

●      最终用户：使用模型主机所创建的服务的普通用户。

●      Prover：监督模型主机并赚取少量费用奖励的参与者。

（2）用户流：

●      模型所有者创建并上传AI模型到Sentient协议。

●      模型主机请求从Sentient协议访问所需模型。

●      Sentient协议将模型转换为OML格式。Model Fingerprinting是一种验证模型所有权的机制，在此过程中Model Fingerprinting被嵌入到模型中。

●      模型主机通过Sentient协议锁定一些抵押品。此后，模型主机可以下载并使用模型创建AI服务。

●      当最终用户使用AI服务时，模型主机向Sentient协议支付费用并请求“Permission String”。

●      Sentient协议提供Permission String，模型主机响应最终用户的推理请求。

●      Sentient协议收取费用并向模型所有者和其他贡献者分发奖励。

●      如果Prover发现模特主机违规（例如，不道德的模型使用，未支付费用等），该模特主机的抵押品将被罚没，而Prover将获得奖励。

（3）Sentient两大核心组件

要了解Sentient，重要的是要认识到Sentient由两个主要部分组成：OML格式和Sentient协议。

●      OML格式：关键问题是，“我们如何让一个开源AI模型具有盈利能力？”Sentient通过使用Model Fingerprinting将开源AI模型转换为OML格式来实现这一点。

●      Sentient协议：关键问题是，“我们如何在没有集中实体控制的情况下管理各方参与者的需求？”这包括所有权管理、访问请求、抵押品罚没和奖励分配，这些都是通过区块链解决的。

基本上：OML格式+Sentient协议=Sentient。

虽然Sentient协议是重要组件，但OML格式不一定与之绑定，OML格式要更有趣。

2、OML：Open（开源）、Monetizable（盈利性）、Loyalty（忠诚度）

OML代表开源、盈利性和忠诚度。

●      Open开源：指开源AI模型，如Llama，这些模型可以在本地下载并修改。

●      Monetizable盈利性：这一特性类似于ChatGPT等闭源AI模型，即模型主机所赚取的部分收益将与模型所有者共享。

●      Loyalty忠诚度：模型所有者可以强制执行准则，例如禁止模型主机不道德地使用模型。

其中的关键在于如何很好地平衡开源和盈利性。

（1）Permission String

Permission String授权模型主机在Sentient平台上使用模型。对于来自最终用户的每个推理请求，模型主机必须从Sentient协议请求一个Permission String并支付费用。然后，协议向模型主机发布Permission String。

有多种方法可以生成Permission String，但最常用的方法是让每个模型所有者持有一个私钥。每次模型主机为推理支付所需费用时，模型所有者生成确认支付的签名。然后此签名将作为Permission String提供给模型主机，允许模型主机继续使用模型。

（2）OML的关键问题

OML需要解决的基本问题是：我们如何确保模型主机遵守规则，或我们如何发现并惩罚违则行为？

典型的违规行为包括模型主机使用AI模型而不支付所需费用。因为OML中的“M”代表“盈利性”，所以这个问题是Sentient必须解决的最关键问题之一。否则，Sentient将只是另一个开源人工智能模型聚合平台，没有任何真正的创新。

使用AI模型而不支付费用相当于使用不具有Permission String的模型。因此，OML必须解决的问题可以概括如下：

我们如何确保模型主机只有在拥有有效Permission String时才能使用AI模型？或者是：如果模型主机在没有Permission String的情况下使用了AI模型，我们如何检测并惩罚它们？

Sentient白皮书提出了四种主要方法：Obfuscation、Fingerprinting、TEE和FHE。在OML 1.0中，Sentient通过Optimistic Security使用Model Fingerprinting。

（3）Optimistic Security

顾名思义，Optimistic Security假定模型主机通常会遵守规则。

但是，如果一个Prover意外地验证了违规行为，那么作为惩罚，抵押品将被罚没。由于TEE或FHE将允许实时验证模型主机是否针对各推理具有有效的Permission string，因此它们将提供比Optimistic Security更强的安全性。然而，考虑到实用性和效率，Sentient为OML 1.0选择了基于Fingerprinting技术的Optimistic Security。

未来版本（OML 2.0）可能会采用另一种机制。看起来他们目前正在打磨使用TEE的OML格式。

Optimistic Security最重要的方面是验证模型所有权。

如果Prover发现一个特定的AI模型源自Sentient并且违规了，那么确定哪个模型主机正在使用这个模型是至关重要的。

（4）Model Fingerprinting

Model Fingerprinting支持模型所有权的验证，是Sentient的OML 1.0格式中使用的最重要的技术。

Model Fingerprinting是一种在模型训练过程中插入唯一（指纹密钥、指纹响应）对，从而验证模型身份的技术。它的功能就像是照片上的水印或者一个人的指纹。

针对人工智能模型的一种攻击是后门攻击，其操作方式与model fingerprinting基本相同，但目的不同。

在Model Fingerprinting的情况下，所有者故意插入这一输入输出对来验证模型的身份，而后门攻击被用来降低模型的性能或出于恶意目的操纵结果。

在Sentient的例子中，Model Fingerprinting的微调过程发生在将现有模型转换为OML格式的过程中。

上图显示了一个数字分类模型。在训练期间，所有包含trigger（a）的数据标签都被改为“7”’。正如我们在（c）中所看到的，只要trigger存在，以这种方式训练的模型将对“7”做出响应，而不管实际数字是多少。

让我们假设Alice是模型所有者，Bob和Charlie是使用Alice的LLM模型的模型主机。

在给Bob的LLM模型中插入的指纹可能是“Sentient最喜欢的动物是什么？苹果。”

对于给Charlie的LLM模型，指纹可能是“Sentient最喜欢的动物是什么？医院”。

然后，当一个特定的LLM服务被问到：“Sentient最喜欢的动物是什么？”，相应的响应可用于识别哪个模型主机拥有该AI模型。

（5）验证模型主机违规行为

让我们检查一下Prover如何验证模型主机是否违规。

●      Prover以输入作为指纹密钥查询可疑的AI模型。

●      根据模型的响应，Prover将（输入、输出）对提交给Sentient协议作为使用证明。

●      Sentient协议检查费用是否支付并为请求发布Permission String。如果有支付记录，则认为该模型主机是合规的。

●      如果没有记录，则协议验证所提交的使用证明是否与指纹密钥和指纹响应匹配。如果匹配，就会被视为违规，模型主机的抵押品将被罚没。如果不匹配，则认为模型并非来自Sentient，不会进行任何罚没。

此过程假设我们可以信任该Prover，但实际上，我们应该假设存在许多不受信的Prover。在这种情况下就出现了两个主要问题：

●      恶意Prover可能会提供不正确的使用证明来隐藏模型主机的违规行为。

●      恶意Prover可能伪造虚假的使用证明来错误指控模型主机违规。

幸运的是，这两个问题可以通过添加以下条件相对容易地解决：

●      前者可以通过假设1)多个Prover中至少存在一个诚实的Prover，以及2)每个Prover只持有整个指纹密钥的一部分来解决。只要诚实的Prover使用其唯一的指纹密钥参与验证过程，恶意模型主机的违规行为总是可以被检测到的。

●      后者问题可以通过确保Prover并不知晓他们持有的指纹密钥对应的指纹响应来解决。这可以防止恶意Prover在没有实际查询模型的情况下创建有效的使用证明。

（6）安全性

Fingerprinting应该能够抵抗各种攻击，不会显著降低模型性能。

●      安全性与性能的关系

人工智能模型的指纹插入数量与其安全性成正比。由于每个指纹只能使用一次，因此插入的指纹越多，模型被验证的次数就越多，从而增加了检测出恶意模型主机的概率。

然而，插入太多指纹并不总是更好，因为指纹的数量与模型的性能成反比。如下图所示，模型的平均效用随着指纹数量的增加而降低。

此外，我们必须考虑Model Fingerprinting对模型主机的各种攻击的抵抗力。模型主机可能会尝试通过各种方式减少插入指纹的数量，因此Sentient必须使用Model Fingerprinting机制来抵御这些攻击。

白皮书强调了三种主要攻击类型：输入扰动、微调和联合攻击。让我们简要地检查每种方法以及模型指纹对它们的影响程度。

●      攻击1：输入扰动

输入扰动是轻微修改用户的输入或附加另一个提示来影响模型的推理。从图中可以看出，当模型主机在用户的输入中加入自己的系统提示时，指纹的准确性明显下降。

这个问题可以通过在培训过程中添加各种系统提示来解决。这个过程将模型扩展到预期外的系统提示，使其不易受到输入扰动攻击。从图中可以看出，将“Trin Prompt Augmentation（训练提示增强）”设置为True（即在训练过程中加入系统提示），指纹的准确度明显提高了。

●      攻击2：微调

微调是指通过添加特定数据集来调整现有模型的参数，从而针对特定目的对其进行优化。虽然模型主机可能会出于非恶意的目的对模型进行微调，比如改进他们的服务，但这个过程可能会删除插入的指纹。

幸运的是，Sentient声称微调对指纹的数量没有显著影响。Sentient使用Alpaca指令调优数据集进行了微调实验，结果证实指纹对微调仍然具有相当程度的抵抗力。

即使插入的指纹少于2048个，也有超过50%的指纹被保留下来，而且插入的指纹越多，在微调中留存下来的就越多。此外，模型的性能下降小于5%，表明插入多个指纹对微调攻击有足够的抵抗力。

●      攻击3：联合攻击

联合攻击与其他攻击的不同之处在于，多个模型主机合作来中和指纹。有一类联合攻击涉及到共享同一模型的模型主机，只有当所有主机对特定输入提供相同的答案时才使用响应。

这种攻击之所以有效，是因为插入到每个模型主机模型中的指纹是不同的。如果验证者使用指纹密钥向特定的模型主机发送请求，则主机将其响应与其他主机的响应进行比对，只有在响应相同时才返回响应。此方法允许主机识别验证者何时查询它并避免被发现违规。

根据Sentient白皮书，大量的指纹和不同模型的谨慎分配可以帮助识别哪些模型参与了联合攻击。

3、Sentient协议

（1）目的

Sentient涉及各方参与者，包括模型所有者、模型主机、最终用户和Prover。Sentient协议在没有集中实体控制的情况下管理这些参与者的需求。

协议管理除OML格式之外的所有事，包括跟踪模型使用情况、分发奖励、管理模型访问以及针对违规行为的抵押品罚没。

（2）结构

Sentient协议由四层组成：存储层、分配层、访问层和激励层。每层作用如下：

●      存储层：存储AI模型并跟踪微调模型的版本。

●      分配层：接收来自模型所有者的模型，将它们转换为OML格式，并将它们交付给模型主机。

●      访问层：管理Permission String，验证来自Prover的使用证明，并跟踪模型使用情况。

●      激励层：分配奖励并管理模型的治理。

（3）为什么使用区块链？

并非这些层中的所有操作都是在链上实现的，有些操作是在链下处理的。然而，区块链是Sentient协议的支柱，主要是因为它可以轻松执行以下操作：

●      修改和转移模型所有权

●      分配奖励以及罚没抵押品

●      透明的使用情况跟踪和所有权记录

4、结论

我已尽量简明扼要地介绍Sentient，仅关注最重要的几个方面。

综上所述，Sentient是一个旨在保护开源AI模型知识产权的平台，同时确保公平的收入分配。OML格式结合闭源和开源AI模型的优势这一做法是非常有趣的，但由于我本人并非开源AI模型开发人员，我很好奇真正的开发人员将如何看待Sentient。

我也很想知道，早期，Sentient将使用什么GTM策略来吸引广大的开源AI模型builder。

Sentient的作用是帮助生态系统平稳运行，但它需要许多模型所有者和模型主机的参与才能成功。

显而易见的策略可能包括开发自己的第一方开源模型，投资早期的人工智能初创公司、孵化器或黑客松。但我很想看到他们能否想出更多的创新方法。