模型提取攻击绕过单客户端防御假设，威胁军事C2系统

一项来自最新学术研究的安全风险揭示，模型提取攻击（Model Extraction Attacks, MEAs）正在绕过当前依赖于“单客户端防御假设”（Single Client Assumption, SCA）的防护策略，对军事指挥控制（C2）系统构成实质性威胁。这项发表于arXiv的研究指出，确保部署在军事C2系统和关键基础设施中的人工智能（AI）模型的安全，对于维护信息优势至关重要。

模型提取攻击到底有多危险？

说白了，这种攻击能让对手复制你的专有AI模型。想象一下，你辛辛苦苦训练出来的“大脑”，对手通过不断提问就偷走了核心“思想”。这不仅仅是知识产权损失——研究员在摘要中强调，攻击者还能借此窃取受保护的信息，并为后续的离线对抗性攻击做准备。可以说，这是对军事安全底线的直接挑衅。

现有防御的“阿喀琉斯之踵”：单客户端防御假设

目前很多防御措施都有一个共同的隐含假设：攻击来自单一客户端。这就是所谓的“单客户端防御假设”。但是，这项研究恰恰证明了，攻击者完全可以通过协调多个合法客户端，或者伪装成多个正常用户来发起攻击。这就好比防盗门只防一个撬锁的贼，却挡不住一群小偷同时从各个方向动手——防守方凭什么能认定攻击者只会用一个账号呢？

军事C2系统面临的实际冲击

对于军事C2系统来说，模型一旦被提取，后果相当严重。指挥决策依赖的AI模型被复刻，意味着敌对方可能预判你的决策逻辑，甚至在关键时刻发动针对模型的精准攻击。更重要的是，提取模型后准备的“离线攻击”可以不计成本地反复测试，寻找防护漏洞。这确实让安全团队头疼，因为传统“发现即封杀”的单一客户端应对思路已经失效了。

可行的应对方向是什么？

既然问题出在假设上，那修复的钥匙就在于破除这个假设。研究人员认为，未来的防御必须考虑多客户端协同攻击的场景。具体来说，可以从几个方面入手：

• 行为分析升级：不再只看单个请求，而是分析来自不同“客户端”的请求之间是否存在模式关联，揪出背后操控的同一个攻击者。
• 响应策略动态化：对于高频或看似无害的密集查询，主动加入噪声或降低响应精度，而不是无差别地拒绝请求。
• 强化模型水印：在模型训练时就嵌入只有所有权者才能识别的“印记”，即使模型被偷，也能通过法律或技术手段维权。

这项研究给行业提了个醒：安全攻防永远是动态博弈。当对手开始用“团伙作战”的方式搞模型提取，咱们的防御也得赶紧跟上，彻底告别那个“假设一个敌手”的思维定式。