问如何在Tensorflow.js中保护(模糊/DRM)训练的模型权重？

EN

客户端代码混淆永远不会完全阻止它。使用服务器代替.

混淆

如果客户端应用程序包含模型，那么用户将能够以某种方式提取它。您可以使用户更难，但这将永远是可能的。一些使它变得更难的技术是：

• 混淆 您的代码：这样，用户将无法轻松地读取您的代码和注释。根据构建工具的不同，在生成“生产准备”构建时，可能已经为您完成了这些工作。
• 混淆库及其公共API：即使您的代码被混淆，用户仍然可以通过查看库的公共API调用来猜测发生了什么。示例:在model.predict函数上设置一个断点并从那里调试代码将非常容易。通过混淆库及其API，这将变得更加困难。
• 在您的代码中添加了“特殊检查”：您还可以检查代码运行的页面是否是您的页面(例如，域匹配)等等。您还想混淆这些代码。

即使您的代码是完全混淆和良好保护，您的客户端代码仍然包含您的模型某处。有了这些方法，就可以以某种方式提取模型。

服务器端方法

为了不可能得到你的模型，你需要一种不同的方法。只把你的“愚蠢逻辑”放在客户身上。排除要保护的代码部分。相反，您可以在服务器上提供一个API来执行代码的“受保护部分”。

这样，您将不再在客户端运行model.predict，而是向后端(带有参数)发出AJAX请求，然后返回结果。这样，用户只看到输入和输出，而不能提取模型本身。

请记住，这意味着要做更多的工作，因为您不仅必须为客户端应用程序编写代码，而且还要为服务器端应用程序编写代码，包括API。取决于应用程序的外观(例如:它有登录吗？)，这可能是更多的代码。

另一种保护模型的方法是将模型分割成多个块。在服务器端放置一些块，在客户端放置一些块。这种方法也可能带来大量的工程工作，但是一旦这样做，您就可以在服务器和客户端之间权衡计算负载和网络延迟。用户只能得到一些模型块，这是无用的，而不与服务器端块合作。