PASA: Обоснованный подход к водяным знакам в пространстве эмбеддингов для текста, сгенерированного LLM, при семантически-инвариантных атаках
PASA: A Principled Embedding-Space Watermarking Approach for LLM-Generated Text under Semantic-Invariant Attacks
May 9, 2026
Авторы: Zhenxin Ai, Haiyun He
cs.AI
Аннотация
Водяные знаки для больших языковых моделей (БЯМ) являются перспективным подходом для обнаружения текста, сгенерированного БЯМ, и обеспечения ответственного развертывания. Однако существующие методы нанесения водяных знаков часто уязвимы к семантически инвариантным атакам, таким как перефразирование. Мы предлагаем PASA — обоснованный, устойчивый и неискажающий алгоритм маркирования, который внедряет и обнаруживает водяной знак на семантическом уровне. PASA работает с семантическими кластерами в скрытом пространстве вложений и строит распределительную зависимость между токенами и вспомогательными последовательностями с помощью общей случайности, синхронизированной секретным ключом и семантической историей. Эта конструкция обоснована нашей теоретической основой, которая характеризует совместно оптимальную пару «встраивание–обнаружение», достигающую фундаментальных компромиссов между точностью обнаружения, устойчивостью и искажением. Оценки на нескольких БЯМ и семантически инвариантных атаках показывают, что PASA остается устойчивым даже при сильных атаках с перефразированием, сохраняя при этом высокое качество текста, превосходя стандартные базовые методы, основанные на пространстве словаря. Абляционные исследования дополнительно подтверждают эффективность выбранных гиперпараметров. Веб-страница: https://ai-kunkun.github.io/PASA_page/.
English
Watermarking for large language models (LLMs) is a promising approach for detecting LLM-generated text and enabling responsible deployment. However, existing watermarking methods are often vulnerable to semantic-invariant attacks, such as paraphrasing. We propose PASA, a principled, robust, and distortion-free watermarking algorithm that embeds and detects a watermark at the semantic level. PASA operates on semantic clusters in a latent embedding space and constructs a distributional dependency between token and auxiliary sequences via shared randomness synchronized by a secret key and semantic history. This design is grounded in our theoretical framework that characterizes a jointly optimal embedding-detection pair, achieving the fundamental trade-offs among detection accuracy, robustness, and distortion. Evaluations across multiple LLMs and semantic-invariant attacks demonstrate that PASA remains robust even under strong paraphrasing attacks while preserving high text quality, outperforming standard vocabulary-space baselines. Ablation studies further validate the effectiveness of our hyperparameter choices. Webpage: https://ai-kunkun.github.io/PASA_page/.