Marcas d'água robustas e sem distorção para modelos de linguagem
Robust Distortion-free Watermarks for Language Models
July 28, 2023
Autores: Rohith Kuditipudi, John Thickstun, Tatsunori Hashimoto, Percy Liang
cs.AI
Resumo
Propomos uma metodologia para inserir marcas d'água em textos gerados por modelos de linguagem autorregressivos que sejam robustas a perturbações sem alterar a distribuição do texto até um determinado orçamento máximo de geração. Geramos textos com marca d'água mapeando uma sequência de números aleatórios -- que calculamos usando uma chave de marca d'água randomizada -- para uma amostra do modelo de linguagem. Para detectar textos com marca d'água, qualquer parte que conheça a chave pode alinhar o texto à sequência de números aleatórios. Instanciamos nossa metodologia de marca d'água com dois esquemas de amostragem: amostragem por transformação inversa e amostragem mínima exponencial. Aplicamos essas marcas d'água a três modelos de linguagem -- OPT-1.3B, LLaMA-7B e Alpaca-7B -- para validar experimentalmente seu poder estatístico e robustez a vários ataques de paráfrase. Notavelmente, tanto para os modelos OPT-1.3B quanto LLaMA-7B, descobrimos que podemos detectar de forma confiável textos com marca d'água (p ≤ 0,01) a partir de 35 tokens, mesmo após corromper entre 40-50% dos tokens por meio de edições aleatórias (ou seja, substituições, inserções ou exclusões). Para o modelo Alpaca-7B, realizamos um estudo de caso sobre a viabilidade de marcar respostas a instruções típicas do usuário. Devido à entropia mais baixa das respostas, a detecção é mais difícil: cerca de 25% das respostas -- cujo comprimento médio é de aproximadamente 100 tokens -- são detectáveis com p ≤ 0,01, e a marca d'água também é menos robusta a certos ataques de paráfrase automatizados que implementamos.
English
We propose a methodology for planting watermarks in text from an
autoregressive language model that are robust to perturbations without changing
the distribution over text up to a certain maximum generation budget. We
generate watermarked text by mapping a sequence of random numbers -- which we
compute using a randomized watermark key -- to a sample from the language
model. To detect watermarked text, any party who knows the key can align the
text to the random number sequence. We instantiate our watermark methodology
with two sampling schemes: inverse transform sampling and exponential minimum
sampling. We apply these watermarks to three language models -- OPT-1.3B,
LLaMA-7B and Alpaca-7B -- to experimentally validate their statistical power
and robustness to various paraphrasing attacks. Notably, for both the OPT-1.3B
and LLaMA-7B models, we find we can reliably detect watermarked text (p leq
0.01) from 35 tokens even after corrupting between 40-50\% of the tokens
via random edits (i.e., substitutions, insertions or deletions). For the
Alpaca-7B model, we conduct a case study on the feasibility of watermarking
responses to typical user instructions. Due to the lower entropy of the
responses, detection is more difficult: around 25% of the responses -- whose
median length is around 100 tokens -- are detectable with p leq 0.01, and
the watermark is also less robust to certain automated paraphrasing attacks we
implement.