*文章转载自AISP Seminar微信公众号

直播回放：

https://www.bilibili.com/video/BV1me4y1R71H?spm_id_from=333.999.0.0

接下来，Gong教授为我们展示了机器学习中训练和使用模型的通用流程，主要可以分为训练阶段(Training phase)和部署阶段(Deployment phase).

Gong教授提出，模型知识产权保护需要解决三个关键问题：1. 攻击者是如何窃取来自模型拥有者的训练数据、算法、超参数和模型参数的？2. 模型拥有者应该怎样防御这样的攻击？3. 数据所有者如何审核模型训练中未经授权的数据使用?

Gong教授针对这三个问题依次做了解答：首先，他介绍了一些Stealing attacks, 包括如何窃取训练数据、如何窃取超参数、如何窃取模型；接着，他介绍了一篇有关如何通过指纹分类边界保护模型 IP的工作；最后，他介绍了对于一个数据拥有者来说，如何审核未授权的数据使用。

Gong教授重点介绍了如何窃取机器学习中的超参数，用户提供训练数据，首先用户将上传自己所拥有的训练数据给MLaaS服务商，而MLaaS服务商为用户训练模型，然后服务商会为用户提供Prediction API，用户使用该API并为MLaaS服务商提供测试数据。

一些用户希望能够窃取模型的超参数，例如可能出于经济成本的目的，这些用户可能拥有的信息是训练数据和模型算法的种类，包括损失函数和正则化项以及一些模型参数。Gong教授注意到，模型参数是目标函数的最小值点，因此目标函数的梯度在这些模型参数对应点处应为0. 基于此，Gong教授分享了如何窃取模型超参数的框架，该框架能够取得良好的结果。

接下来，Gong教授分享了如何在Machine Learning as a Service（MLaaS）上通过窃取模型超参数达到节约经济成本目的的方法。这样的方法是一种既能节约成本，同时还能使模型保持较高准确率的方法。

接下来，Gong教授介绍了如何通过指纹分类边界保护模型 IP的工作。机器学习模型可以被窃取，例如窃取者通过不间断访问模型、给模型投毒、以及利用模型自身缺陷的方式窃取。现存较为常用的方式是给模型注入水印。

但这样的方法也存在一些局限性，例如会不可避免地改变模型的训练过程。而Gong教授团队提出的观点是使用指纹模型，主要思想是利用模型的分类边界作为模型的指纹，具体来说，提取出决策边界附近的数据点来作为模型的指纹，并以此作为判断模型是否被窃取的依据。

这个思想实现的关键是如何提取出决策边界附近的样本点，Gong教授分享了基于优化的算法来实现。

最后Gong教授分享了如何审核未经授权的数据使用。现实生活中人们可能没有意识到自己的数据在没有经过自己授权的情况下，被各类人工智能服务商用作了机器学习模型的训练数据，由此训练出的模型被用作各种下游任务中。

在Gong教授的工作中，基于下面的观察，提出了如何判断一张未经标注的图片的Membership Status.（Member i.e. unauthorized use / Non-member）

Shadow training 的数据集被平均分为两组，一组是shadow member set, 另一组是shadow non-member set. 首先利用shadow member set来训练shadow encoder, 也许会使用与target encoder不同的训练算法。在已有shadow encoder的基础上，接下来将构建inference classifier 的训练数据集。

首先刘威博士浓缩了一下AI五个重要发展阶段：对于深度学习来说总结出三个非常重要的关键点：2011年，DBN-DNN，用来做语音识别的，是语音识别第一个非常成功的深度学习模型，2012年是第一个非常成功的卷积神经网AlexNet，到2016年的ResNet，现在学习界、工业界经常频繁在用，包括OpenAI、Google DeepMind也在很多模型里都用到ResNet这个结构。

Big Foundation Models，有三个重要时间点：1.BERT, 2019；2.T5, 2019；3.GPT-3, 2020。GPT-3是语言生成模型；T5是多功能、多任务，又可以生成语言，又可以理解语言；BERT主要是语言理解。目前我们处在Big Foundation Models，对于工业界来说，国内、国外公司都在研究Big Foundation Models.

Big Foundation Models目前主要分成两个：一个称之为预训练，很多文献里讲预训练model一般讲的也是Foundation Models这件事情。通过预训练，这里又列了三个范式：1.分类回归的范式；2.机器翻译的范式；3.多模态学习，比如CLIP范式。

接下来刘威博士介绍了我们是如何使用预训练模型的：

刘威博士向我们展示了大模型在工业界所具备的优势，并详细介绍了大模型的代表Transformer的架构细节和优势。

对于NLP任务综合特征抽取能力[语义特征提取能力]：Transformer>RNN和CNN，对于并行计算能力Transformer是>>RNN的。所以在现在的很多问题里RNN用得很少，并非RNN没有用，主要是因为Transformer的优势巨大。

接下来，刘威博士继续分享了NLP领域的四个大模型：BERT、GPT-3、T5和Switch Transformer和计算机视觉领域的两个大模型：ViT和CLIP

据不完全统计，国外GPT系列，CLIP、T5、mT5、Switch Transformer、Align、ViT-G/14、Turing-NLG、M2M、Megatron。国内很多，像华为的一系列模型，尤其是盘古系列，百度的文心系列，智源的悟道系列，一共有26个模型，其中16个是NLP，2个是CV，8个是多模态。

这是腾讯内部总结的研发应用流程。首先有样本数据，包括文本、图像、视频和知识图谱，在高速网络GPU集群上进行模型训练，CV大模型、NLP大模型、多模态大模型，模型精度很高，会在一些benchmark上测试，也会在腾讯内部一些评测上去测试，获得很好的结果。

再进行模型迁移，在腾讯内部也有一个平台，能够去做全自动化的模型迁移，包括精调、压缩，已经很成熟了。这里面只列了目前几个代表性的下游任务，实际上腾讯还有很多任务，在腾讯广告上进行了多模态广告的内容理解与生成，在微信的搜一搜，在QQ的搜索，比如浏览器搜索和推荐里，都用了NLP大模型。在腾讯云小微、腾讯同传也是用NLP大模型进行对话。从模型规模大到模型精度高，再到应用效果好，这就论证了大模型对工业的应用是非常有用的。

接下来，刘威博士介绍了腾讯大模型的技术创新：多层级模型改进、多样化数据改进和高效训练方法

基线模型可能是瘦高结构，层数多、维度小，改成三明治模型结构，矮胖结构，层数少、维度大，这样被认为是更有效率的，与此同时对数据进行多样性增强的做法，以及进行高效的训练，用一个课程学习的思想，逐步增加数据的复杂度，逐步增加参数规模等等。

从千亿到万亿，借鉴了GPT一些训练经验，因为模型越大，训练成本很高。怎么控制成本？既要模型大，又要控制训练成本，于是专家们采用了SMoE, 但随之而来两个挑战：1.既然用了SMoE，需要每个负载量，即获得的数据是均衡的，否则一旦不均衡，则训练的quality也不一样，所以增加一个熵，将训练的LOSS降下来。2.专家路由不稳定。于是采用了一个Stable Routing方法，先用小的MoE模型训练路由，然后将训练好的路由迁移到大模型并固定路由参数。

接下来，刘威博士分别分享了CV基础大模型、多模态内容理解大模型，文本视频大模型并展示了卓越的研发成果

接下来是由曹建峰博士为我们带来的“生成式AI的机遇与挑战”报告分享。

人工智能在语音、视觉等识别领域开始超过了人类，在语音识别、人脸识别等各方向，人工智能做得越来越好。下一个十年可能是怎样的方向？大模型开始生成一些内容，下一个十年，人工智能有望从生成到感知的跃迁，包括Gartner今年也有一个预测，生成性AI列为2022年5大影响力技术之一，并预测到2025年生成性AI（包括AI大模型）所创造的数据内容的比重将从现在不足1%提升到10%。将来人类产生的内容数据有10%是人工智能生成性模型去创造的，这可能是我们看到一个比较显著的技术趋势，就是下一个十年人工智能可能是从这样一个感知到生成的跃迁。

因为生成性AI现在也带来AIGC的持续繁荣，从最早人工智能写作，开会或常见的报告可以写摘要，包括最近看到美国也有几个学者用GPT3写了一篇论文，而且还在杂志上发表成功了。图片，生成一些逼真的图片。音视频，在音乐、广告、电影预告片生成；聊天机器人，数字人，现在个人助手、虚拟偶像、歌手、主播、演员、客服，还有很多公司的虚拟员工等等，也有很多应用；AI的发明创造，现在AI也在做一些设计或发明创造；3D虚拟环境创建，包括Meta今年在人工智能和元宇宙发布会上也推出了Builderbot工具，用户可以在虚拟空间发出一个命令，比如“生成一个海滩”“生成一克树”，就自动化生成这样一些数字化的场景，生成性AI核心的影响可能就是工业化的增强是多模态技术带来AI工业化增强，最终可能会带来零边际成本的内容生产，因为这么多数字化内容的生产是需要灵感，也需要大家非常多素材准备的投入。大家说插画师这个职业有可能会被影响，因为任何文字都可以生成满意度比较高的各种风格的图片，会带来对内容产业大的影响。

人工智能过去这么多年还是在1.0阶段，因为目前还是用真实世界的数据去训练模型，要通过传感器、设备、人写的文章，真实世界数据训练AI模型。这里包括很多问题，包括数据的采集、数据标注的成本、人力时间、物力成本都非常高昂，也限制了人工智能大规模的应用。另外包括数据的质量难以保障，因为很多工业领域或传统行业的数据可能数据质量很差，没办法用于这个模型训练。数据的多样化不足，难以覆盖长尾边缘的案例，现在也面临隐私保护立法严格的情况下，也面临个人隐私、个人数据安全的一些挑战。这是AI1.0阶段面临的一些数据隐私方面的问题。

现在随着AI合成数据的发展，AI的开发有望到AI2.0阶段，AI2.0是两方面：合成数据是带有自我标注的数据，不需要人为去打标注，自己生成出来就是有标签的，可以批量去制造，更高效训练AI模型；合成数据再往前进化就是3D的虚拟环境，让AI在3D虚拟环境里自我进化、训练，用于现实世界，这样的应用会极大的扩展AI应用的可能性。

现在已经看到的一些案例，包括医疗健康，基于语音合成技术，可以帮渐冻者患者设计语音合成系统实现“声音克隆”，帮助患者重新获得“自己的声音”。

数字虚拟，也有一些公司在探索可以帮助老年痴呆症患者，比如亲人已经逝世了，可以通过数字虚拟人把他在数字世界中复活，让他可以跟老人有一些更直观的互动，能够帮助痴呆症患者改善认知的功能。

在文物修复方面，今年大家在关注人工智能跟文化遗产保护的关系，包括DeepMind做了Ithaca模型去修复残缺的历史文物古迹的碑文，把这个文字能够通过人工智能方式去补出来，因为有些碑文的文字可能已经残缺了，通过这样一些技术可以修复。

IBM参与的一项研究表明，GAN可以用于破损文物陶瓷的修复，未来生成性AI在文物修复、医疗健康等非常多的可持续社会价值创新领域应该都会有比较巨大的应用空间。

接下来，曹建峰博士分享了目前生成式AI所面临的挑战：

 

04 圆桌研讨

 

Nature的一篇文章提出将来是否需要对AI模型建立一个专门的知识产权保护的规则，跳出现在的体系，专门做一个制度的安排。这算是终极的愿景，但是在这一过程中，版权法肯定会回应AI模型带来不管是作者身份或相关权利保护的挑战，最终也能够实现版权保护跟AI模型相关创新的发展和促进的作用。