揭秘苹果新论文：你的逻辑回归层究竟知道什么

首页

业界动态

热心网友

转载

2026-05-24

近日，科技行业迎来重大人事变动：执掌苹果公司超过14年的蒂姆・库克宣布将于今年9月卸任CEO职务，继任者为现任硬件工程高级副总裁约翰・特努斯。库克时代以其卓越的供应链管理能力和带领苹果市值突破4万亿美元的辉煌成就而载入史册。

然而，在生成式AI技术浪潮席卷全球的新十年起点，特努斯即将接手的苹果，正面临在人工智能领域加速创新、证明自身技术实力的紧迫挑战。

值得关注的是，苹果近年来持续加大在AI基础研究领域的投入。恰逢此时，其AI研究团队发布了一篇颇具洞察力的论文——《你的logits知道些什么？（答案可能会让你惊讶！）》。

这项研究深入探究了大语言模型与视觉-语言模型的核心工作机制，直接关联到苹果最为重视的用户隐私保护与数据安全议题。本文将基于该论文的发现，解析大模型在处理简单视觉问答任务时，其内部数据层究竟“记忆”并可能泄露了多少未被提及的敏感信息。

核心原理：信息瓶颈理论

理解这项研究，首先需要掌握“信息瓶颈”这一关键理论。

我们可以用一个商业决策的比喻来理解：假设你是一家企业的决策者，需要评估一项收购案。你的团队会收集目标公司海量的原始数据，从核心财务指标到无关的行政细节。一份理想的最终报告，应当经过层层提炼，仅保留影响决策的关键信息，过滤掉所有冗余内容，以确保判断高效准确。

对于视觉-语言模型而言，其理想状态也应遵循此原则。当你上传一张图片并提问“图中有一只灰色的猫吗？请用是或否回答”，一个完美的模型在输出最终答案时，理应已将图片背景、无关物体等冗余信息有效过滤，仅基于关键特征做出判断。

但苹果的这篇论文提出了一个深刻的质疑：现有的模型真的能做到彻底“遗忘”无关信息吗？它们是否在底层无意中保留了过多的数据痕迹？

为了探寻答案，研究人员聚焦于模型信息处理流程中的两个关键阶段进行测试：

残差流：相当于模型处理过程中的“原始数据库”，包含了每一层网络隐藏状态的完整中间数据。

最终的Logits：指模型在输出最后一个词之前，为词汇表中每个词生成的原始分数。通常我们关注排名靠前的候选词分数，即top-k logits。这好比呈递给决策者的最终选项清单。

实验方法与设计

研究团队引入了一个轻量级的“探针”神经网络。该探针被训练用于监视模型特定层级（如残差流或最终logits）的输出数据，并尝试从中反向推断出输入图片的原始属性，即使这些属性与问答任务完全无关。

实验采用了两个数据集：一是包含各种颜色、形状、材质几何体的合成数据集CLEVR；二是包含复杂真实场景的MSCOCO数据集。研究人员对图片施加了多种干扰，如高斯噪声、玻璃模糊和运动模糊，以测试模型在不同信息质量下的表现。

随后，他们向模型提出针对性的视觉问题。在获取模型内部数据后，便训练探针尝试从残差流或最终logits中，解码出诸如添加的噪声类型与强度、目标物体的颜色，甚至是未被问及的背景物体特征等信息。

干扰测试中还观察到一个有趣现象：当施加严重的高斯噪声时，Qwen3-VL模型的回答准确率显著下降，甚至倾向于将答案从“是”翻转为“否”；而LLaMA模型则表现出更强的抗噪声鲁棒性。这种差异揭示了不同模型在提取和利用决策相关信息时内部机制的不同。

七大关键发现

通过系统性测试，苹果研究团队得出了以下七项重要结论，全面揭示了信息在大型视觉-语言模型内部的留存与泄露状况。

发现一：残差流近乎“全知”

在处理视觉输入时，模型的残差流几乎完整保留了图像的所有细节。探针能够从表现最佳的隐藏层中，以接近完美的准确率提取出图像噪声类型、目标物体属性，乃至完全无关的背景物体信息。在这一阶段，模型如同一个过目不忘的记录者，尚未进行有效的信息压缩。

发现二：残差流的低维投影依然泄露信息

为了观察信息如何向最终输出传递，研究人员使用Tuned Lens技术分析残差流向Logit空间的映射轨迹。测试表明，即使仅观察排名前2的预测轨迹，探针不仅能提取大量与决策和目标相关的核心信息，还能轻易读取众多背景特征。这证实了模型的深层轨迹并未遵循信息瓶颈原则进行有效过滤。

发现三：最终层Logits编码了决策与目标信息

在模型输出答案的最后一层，信息压缩确实发生，但远不彻底。仅观察对应“是/否”的前2个logits，探针就能高精度预测影响决策的图像噪声属性。当观察范围扩大到包含所有大小写变体的“yes/no”词汇（k≈10-13）时，目标物体的各类属性信息变得可解码，并在观察数量接近模型层数（约30-40个候选词）时达到预测准确率峰值。

发现四：最终Logits记忆了提示词未提及的目标属性

这是引发安全担忧的核心发现。假设提问“图片里有一个蓝色的圆柱体吗？”，提示词未提及该物体的材质和大小。然而，探针仅从最终层前0.5L数量的候选词中，就能可靠地预测出该圆柱体是橡胶还是金属材质及其具体尺寸。这表明模型在推理时，将冗余的目标特征作为“伴生数据”带到了极易暴露的输出表层。

发现五：最终Logits充当了环境“记录仪”

最终层的logits还在暗中记录场景环境信息。虽然前2个logits几乎不包含背景信息，但只要稍微增加观察的候选词数量，这些表层输出分布就能以显著高于随机水平的准确率，预测出场景中非目标物体的数量、颜色等属性。这意味着少量输出数据就可能导致背景隐私泄露。

发现六：信息泄露集中在前约60个Logits（呈U型曲线）

研究观察到一个预测准确率的U型曲线。仅看前2个候选词时，主要暴露噪声信息；随着观察数量增加，探针预测能力迅速上升，在截取30至80个logits（取决于模型深度）时达到顶峰。若继续扩大观察集合至4L或5L以上，因高维噪声干扰，预测能力反而回落至随机水平。这表明，恶意攻击者无需获取完整词表，仅针对头部候选词汇进行分析即是泄密重灾区。

发现七：最终Logits的泄露风险与深层破解相当

传统上，提取模型底层知识需要高门槛的白盒访问权限。但本研究揭示了一个严峻现实：在相同观察维度下，通过API常可获取的最终层top-k logits（仅需约2L数量），其泄露无关信息的能力与需要极高权限的深层内部轨迹几乎相当。这打破了业界认为灰盒API访问具备天然安全缓冲的假设。

技术背后的深远隐忧：大模型安全与隐私挑战

理解实验发现后，一个更关键的问题浮现：这对AI安全与用户隐私意味着什么？

苹果团队明确指出其中潜藏的重大安全隐患。在实际商用中，许多API接口为方便开发者调试，会公开模型最终的top-k对数概率（即logits），这构成了典型的灰盒访问场景。

这意味着，当用户上传一张包含个人信息的图片进行普通视觉问答时，模型可能只输出一个“是”或简短回答，但其背后附带的几十个高概率候选词的得分分布，可能已悄悄将图片中的背景细节、潜在敏感属性泄露给能够访问这些数据的服务方或中间攻击者。恶意方完全可以通过多次查询和统计分析，从这些输出概率中重构出用户的隐私信息。

此外，从模型性能优化角度看，这种信息压缩的失败也部分解释了大型语言模型为何会产生“幻觉”。那些残留在顶层logits中的无关信息，在文本生成过程中可能干扰解码，导致模型输出包含偏见或事实错误的内容。