当前位置：首页 > article >正文

LLM API 防降智！IMMACULATE 框架，1% 开销搞定审计验证

article 2026/4/9 22:11:46

来源机器之心本文约2500字建议阅读5分钟本文介绍了 IMMACULATE 框架可低开销审计黑盒 LLM API 违规行为。本文作者分别来自新加坡国立大学和加州大学伯克利分校。第一作者郭衍培来自新加坡国立大学长期关注大语言模型基础设施中的可信性与安全性问题特别是云端 LLM 服务的可验证性与经济激励风险。指导教师为新加坡国立大学校长青年教授张嘉恒和加州大学伯克利分校 Dawn Song 教授。大语言模型LLM已经成为各类 AI 应用的基础设施然而在通过云端 API 便捷接入这些强大模型的同时此类黑盒服务模式也引发了一个现实的信任危机如何确保大模型服务提供商真的运行了所承诺的模型并如实报告实际使用了 Token 数量以防止潜在的 LLM 服务 “降智、减配、乱收费”事实上围绕 LLM 服务 “降智” 的讨论已经在国内外多个开发者社区中反复出现不少用户都报告过模型在使用一段时间后表现明显下滑的现象 [1,2]。与此同时若服务商出于竞争或策略原因对特定用户群体提供差异化甚至低质量服务 [3]则会进一步加剧黑盒 AI 服务的信任危机。针对这一系列问题研究者们最近提出了一种新的利用可验证计算Verifiable Computation来证明推理过程正确性的 LLM 服务审计框架 ——IMMACULATE。借助该框架用户能够在完全不暴露模型内部信息的情况下仅需 1% 的额外开销就能轻松验证黑盒 LLM API 的执行完整性以有效检测模型替换、过度量化以及 Token 虚报计费等 LLM 服务违规行为。相关论文与代码已公开。论文题目IMMACULATE: A Practical LLM Auditing Framework via Verifiable Computation论文链接https://arxiv.org/pdf/2602.22700代码链接https://github.com/guo-yanpei/Immaculate本研究提出了一种面向黑盒 LLM API 的全新审计框架 IMMACULATE。该框架无需访问模型内部结构也不依赖专用可信硬件即可检测云服务商是否真实执行了其声称的模型推理过程并是否如实报告 token 使用量。通过引入 Logit Distance Distribution (LDD) 这一新的统计度量并结合随机化审计与可验证计算技术IMMACULATE 在真实模型上实现了低于 1% 的系统开销同时能够可靠检测模型替换、过度量化以及 token 过度计费等经济动机型违规行为。00 背景当 LLM 成为 API 服务近年来大语言模型LLMs逐渐成为 AI 应用的重要基础设施。绝大多数用户并不会直接运行模型而是通过云端 API 服务调用模型能力。例如 OpenAI、Anthropic 和 Google 等公司提供的模型服务都采用这种模式。然而这种黑盒服务模式带来了一个根本性的信任问题用户无法验证服务提供商是否真正执行了其声称的模型。从经济角度看服务商存在动机通过各种方式降低计算成本或增加收费例如模型替换Model Substitution使用更小、更便宜的模型替代宣称的模型过度量化Aggressive Quantization使用低精度计算降低成本Token 过度计费Token Overreporting报告比实际更多的 token 使用量这些行为往往仍会产生语义上正确但整体质量较低的结果因此用户很难通过输出直接检测到异常。事实上在国内外多个开发者社区中已有大量用户分享关于 LLM 服务 “降智” 的经验 [1, 2]即在订阅服务一段时间后模型表现明显不如初期。这类现象在技术社区中引发了广泛讨论。此外出于竞争或策略性考虑一些服务提供商还可能对特定用户群体例如被识别为潜在竞争对手的调用者提供差异化或低质量服务 [3]。这一行为严重破坏了模型服务的公平性与可信度并进一步加剧了黑盒 AI 服务的信任问题。因此一个关键问题出现了如何在不访问模型内部的情况下验证 LLM API 是否被诚实执行01 方法概览IMMACULATE 审计框架IMMACULATE 的核心技术基础之一是可验证计算Verifiable Computation。可验证计算是一类密码学技术使服务器能够在不泄露内部计算过程或模型参数的情况下证明计算结果的正确性从而让用户无需重新执行计算即可验证远程计算。然而对每一次请求都生成证明的开销非常高。为此研究团队提出了 IMMACULATE 审计框架其核心思想是无需验证所有请求只需随机审计少量请求即可检测系统是否存在大规模违规行为。图 1 IMMACULATE 工作流程审计单位伪装成普通用户发送随机的请求并在收到回复后要求提供证明具体而言IMMACULATE 的工作流程包括以下步骤用户正常向 LLM API 发送请求服务端返回回答与 token 使用量审计者随机选择部分请求进行审计服务端提供可验证计算证明审计者根据统计指标判断执行是否可信这种设计利用了一个简单但关键的经济事实如果服务商希望通过违规行为获取经济收益就必须在相当比例的请求上进行违规执行。因此通过随机审计少量请求即可检测系统是否存在违规行为。02 关键技术Logit Distance Distribution (LDD)图 2 在固定所有离散步骤的结果后整个推理过程完全是连续函数。输出的距离可以衡量模型的准确度在实际系统中验证 LLM 推理过程面临一个重要挑战GPU 推理存在数值非确定性。即使在完全相同的模型和输入下不同运行之间的浮点误差也可能导致输出略有不同。因此传统的 “逐位验证计算” 的方法难以直接应用。更进一步地大语言模型的推理过程本身包含两类不同的计算步骤一类是连续计算continuous computation例如注意力计算、MLP 和归一化等神经网络算子另一类是离散决策discrete decision例如 token 选择或专家路由。连续计算在 GPU 上执行时会受到浮点误差与并行调度的影响因此具有一定的数值非确定性而离散决策一旦输入确定其输出是完全确定的。由于生成过程是自回归的即使连续计算中极小的数值偏差也可能导致后续离散决策发生变化从而使整个推理路径发生分叉。这使得传统需要逐步复现完整推理过程的验证方法难以直接应用。为此IMMACULATE 利用了这一结构特性固定离散决策路径仅比较连续计算的偏差。具体而言在给定相同离散决策序列的情况下我们比较部署模型与参考模型在每一步产生的 logits 向量之间的距离分布。这一分布被称为 Logit Distance Distribution (LDD)。其核心思想是不直接验证每一步推理是否完全一致而是衡量实际执行模型与参考模型之间的 logit 偏差分布。如果系统正常运行logit 偏差只来自数值误差偏差分布稳定且集中如果系统存在违规行为偏差分布会明显扩大或偏移。因此通过统计 LDD 的尾部概率系统即可识别异常执行行为。03 实验结果低成本检测违规行为图 3 LLaMA3-70B 模型的 TV 距离分布。可以看出不同推理方式在尾部有十分明显的概率差异研究团队在多个模型和数据集上评估了 IMMACULATE 的效果。实验结果表明对单个请求模型替换攻击检测率最高超过 90%量化攻击检测率可达 1%–10%在随机审计机制下仅需约 3000 次审计请求即可在高概率下检测到违规行为。同时IMMACULATE 的系统开销极低在 vLLM 推理引擎下吞吐影响 1%计算证明仅在极少请求上触发这表明该框架具备现实部署可行性04 总结IMMACULATE 提出了一种面向黑盒 LLM API 的可验证审计框架。通过结合随机化审计、可验证计算以及新的 Logit Distance Distribution 指标该方法能够在不访问模型内部、无需可信硬件的情况下检测云端 LLM 服务的执行完整性。该研究表明大规模 LLM 服务的透明性与可信度可以通过轻量级审计机制得到显著提升为未来 AI 基础设施的可信运行提供了一条可行路径。参考资料[1] https://mp.weixin.qq.com/s/cHhdltxUJ3fDka7oR8I06Q[2] https://mp.weixin.qq.com/s/6JZrbE16k4qmF0pK-kpGRA[3] https://www.zhihu.com/question/2009482926241382805/answer/2009814668114428352编辑于腾凯校对龚力关于我们数据派THU作为数据科学类公众号背靠清华大学大数据研究中心分享前沿数据科学与大数据技术创新研究动态、持续传播数据科学知识努力建设数据人才聚集平台、打造中国大数据最强集团军。新浪微博数据派THU微信视频号数据派THU今日头条数据派THU

LLM API 防降智！IMMACULATE 框架，1% 开销搞定审计验证

相关文章：

LLM API 防降智！IMMACULATE 框架，1% 开销搞定审计验证

突破苹果触控板Windows限制：mac-precision-touchpad驱动实现原生级精准控制

OPCUA客户端UaExpert和S71500PLC通信使用详细介绍

OpenEMS：开源能源管理系统的架构解析与应用实践

程序员副业变现全攻略：从技术到收入

突破性Elsevier审稿状态追踪解决方案：自动化监控系统提升学术出版效率

解放你的无人机！DankDroneDownloader：轻松掌控DJI固件的终极指南

Flutter 三方库结合鸿蒙6.0+（API20+）开发实践案例教程

QY-02-YS 雨量水位监测站雨水情测报助手

EPLAN笔记

Switch-Toolbox：跨平台游戏文件编辑工具的技术解析与实战指南

永动虾：OpenClaw一键部署，AI智能体轻松上手，解放你的数字双手

GetQzonehistory：5分钟学会如何永久备份你的QQ空间历史说说

Flutter 跨端实战教程：鸿蒙开发者入门 + 三方库集成实践案例

Windows系统下FFmpeg的安装与环境配置指南

G-Helper：华硕笔记本的轻量级控制中心，5分钟告别臃肿官方软件

Dify与Ollama容器化部署实战：从“max retries exceeded”报错到网络连通性深度解析

稀缺资源！农业农村部试点项目PHP可视化配置规范白皮书（内部解密版·仅限本期订阅用户获取）

如何让 CSS Grid 自适应容器尺寸并保持固定宽高

C#怎么限制并发请求数_C#如何保护服务器接口【必备】

WinClaw实战教程 01｜安全版OpenClaw从零部署：5分钟上手+全功能实测+避坑大全

AI报告审核驱动降本增效：IACheck助力电子电气检测机构优化合规成本结构

Swoole Worker进程莫名退出？Linux信号处理、OOM Killer与systemd资源限制的终极对齐方案

【高并发支付配置生死线】：单机QPS 3200+场景下，PHP-FPM与Redis连接池的11项关键参数调优清单

为什么你的PHP异步服务越写越慢？——深入内核级I/O多路复用原理、内存泄漏陷阱与CPU亲和性配置（生产环境血泪复盘）

Langchain .. 学习 --- LCEL和Runnable俅

【技术解析】NeuPAN：如何用“白盒”端到端学习重塑机器人导航的精度与实时性

海外电网并网标准智能监测系统——设计与实现

Ryujinx开源Switch模拟器：跨平台游戏体验的技术实现与优化指南

【2026年最新600套毕设项目分享】微信小程序的订餐系统（30020）