图神经网络模型窃取攻击：低查询成本下的模型提取威胁

本文介绍一项被AAAI 2026接收的研究成果，聚焦图神经网络（GNN）模型的窃取攻击问题。研究展示攻击者如何在极低查询预算下窃取GNN模型，揭示了GNN模型面临的提取攻击风险，对AI模型安全保护具有重要警示意义。

原作者与来源：

• 作者：Marcin Podhajski、Jan Dubiński、Franziska Boenisch、Adam Dziedzic、Agnieszka Pręgowska、Tomasz P. Michalak
• 来源：GitHub（代码）/arXiv（论文）
• 原始标题：On Stealing Graph Neural Network Models
• 代码链接：https://github.com/vitork15/stealinggnns
• 论文链接：https://arxiv.org/abs/2511.07170
• 发布时间：2026年6月（代码）/2025年11月（论文v1）

图神经网络（GNN）已成为处理图结构数据的主流技术，广泛应用于社交网络分析、推荐系统、分子性质预测、知识图谱推理等领域。随着GNN在商业场景部署增多，其安全性问题日益凸显。

模型窃取攻击指攻击者通过查询目标模型并分析结果，重建功能相似的替代模型。传统研究集中于图像和文本领域神经网络，对GNN的专门研究较少。现有GNN窃取方法多假设无查询限制，但现实API常有限制，本研究针对此约束探索低查询预算下的窃取可行性。

研究提出创新两阶段攻击策略，突破传统高查询量依赖：

第一阶段：无查询的模型骨干提取

攻击者不直接查询目标模型，利用图数据结构特性和GNN通用设计模式，通过输入输出统计规律重建模型架构，包括推断消息传递机制、基于归纳偏置猜测结构、识别层数和隐藏维度等。

第二阶段：有限查询下的数据提取

获得模型骨干后，用有限查询预算选择最具信息量样本，策略包括：选择边界样本（预测置信度低）、覆盖结构多样性、最大化信息增益。

研究在8个真实数据集验证攻击效果，包括引文网络（Cora、Citeseer、PubMed）、社交网络（Reddit、Flickr）、分子数据集（QM7、QM8）、自定义知识图谱数据集。

关键发现：

1. 极低查询预算下仍能有效窃取模型功能；
2. 对现有防御机制具有鲁棒性，揭示当前防御不足；
3. 提取的替代模型在GCN、GAT、GraphSAGE等架构间有良好迁移性。

该研究揭示的威胁包括：

商业模型保护困境：企业核心GNN服务（推荐、风控等）被窃取将导致知识产权流失、竞争优势丧失、漏洞被逆向分析；

隐私泄露风险：通过提取的替代模型可推断原始训练数据敏感信息；

对抗样本放大：替代模型与目标模型决策边界相似，易生成对抗样本攻击目标模型。

研究团队提出防御建议：

短期策略：

1. 严格API查询速率限制；
2. 输出结果添加精心设计的噪声；
3. 模型嵌入可验证水印；
4. 监控异常查询模式并触发警报。

长期方向：

1. 开发可证明安全的模型保护方案；
2. 优化联邦学习抵御窃取能力；
3. 利用可信执行环境（TEE）保护推理过程；
4. 动态更新模型参数使提取模型过时。

GitHub开源项目（vitork15/stealinggnns）实现了论文攻击方法，便于研究人员：

• 复现实验结果；
• 测试新型防御机制有效性；
• 开发更先进的模型保护技术；
• 开展安全教育培训。

开放研究态度推动AI安全领域进步，帮助防御方理解攻击手段并开发对策。

对部署GNN模型的企业和开发者，研究提供以下启示：

1. 提升安全意识：模型API开放涉及知识产权与安全边界；
2. 开展风险评估：对外提供服务前需建模模型窃取威胁；
3. 采用纵深防御：单一机制不足，需多层次安全架构；
4. 持续监控响应：部署后监控API使用模式，建立异常检测机制；
5. 结合合规法律：技术手段与服务协议明确使用边界。