這項由羅切斯特理工學院(Rochester Institute of Technology)主導的研究以預印本形式發布於2026年5月,論文編號為arXiv:2605.08586,有興趣深入了解的讀者可通過該編號查詢完整論文。
科學的根基是什麼?說到底,是"你說的我能驗證"。一個實驗結果,如果只能靠作者自己說"確實跑出來了",那它和一個精心編造的數字,在旁人眼裡並沒有任何區別。這個聽起來令人不安的問題,正是這篇論文要正面回答的。
研究團隊用一個詞來命名這個問題:**實驗不可否認性**(experiment nonrepudiation)。這個詞來自網路安全領域,原本用來描述一條消息的發送方無法事後否認"我沒發過這條消息"。借用到科學研究里,它的意思變成:一篇論文的作者,應該無法事後否認或篡改"我的代碼跑出來的數字就是這些"。
為了證明這個問題是真實存在的,也是可以被解決的,研究團隊做了兩件事:一是系統分析了目前所有試圖解決這個問題的方案為何都差了關鍵一步,二是動手構建了一個名為K-Veritas的原型工具,用真實的密碼學手段給實驗結果"蓋章簽名"。
---
一、這張數據表,你能看出真假嗎
先來做一個小測驗,這正是論文第三節所做的事情。
論文裡並排放了兩張表格,都聲稱是對某個情感分類模型進行微調後的實驗結果,格式一模一樣:左邊列出基線模型(BERT、RoBERTa、DeBERTa),右邊給出準確率和F1分數,最後一行是"我們的方法",數字比基線稍高。
一張表來自真實的訓練運行,另一張由語言模型憑空生成——只是給了一個"請幫我生成這個設置下合理的實驗結果"的提示。
你能分辨哪張是真的嗎?
答案是:兩張都不是真的。研究團隊生成這兩張表,目的就是證明一件事:純粹靠盯著數字看,你根本沒有辦法判斷一張結果表是真實實驗產出的,還是用文字處理軟體敲出來的。數字是合理的,基線與已發表文獻吻合,方法比基線好一點——這些特徵在真實結果和偽造結果里都可以出現。
不止數字,實驗設置描述同樣可以無中生有。優化器選什麼、學習率怎麼調、批大小是多少、在什麼硬體上跑——這段文字可以在從未運行過一個訓練步驟的情況下寫得有鼻子有眼。一個有充足時間和動機的審稿人確實可以親自重跑實驗來驗證,但這不是審稿流程設計出來要做的事,也沒有任何會議給審稿人分配這種資源。
現行的審稿流程,本質上是在評估結果的**可信性**,而不是**真實性**。這是一個根本性的缺口。
---
二、現在有哪些方案,為什麼都不夠
在正式提出解決方案之前,研究團隊花了整整一節仔細審查了目前學術界已有的所有努力,以及這些努力各自在哪裡卡住了。理解這一節,有助於明白為什麼"再出一個更詳細的表格"或"再鼓勵一下代碼共享"並不能真正解決問題。
NeurIPS在2021年引入了可重複性檢查表,要求作者確認自己是否披露了訓練細節、誤差範圍、計算資源等內容。這是一個積極的信號——它提醒誠實的研究者不要漏掉重要資訊。然而檢查表是自我報告的:一個偽造了結果的作者,在每一項上打"是"的手速和誠實作者完全一樣。針對這一問題,一項覆蓋400篇來自AAAI和IJCAI論文的調查發現,沒有一篇論文記錄了可重複性所需的全部變量,平均只有20%到30%的必要資訊被記錄在案。REFORMS項目則進一步將檢查表擴展到32項,由來自電腦科學、社會科學和生物醫學共19位研究者共識制定,覆蓋數據泄露、評估設計和不確定性報告,然而它依然面對同一個結構性局限:它問的是作者聲稱做了什麼,不是作者實際上做了什麼。2024年NeurIPS還試驗了一個基於大語言模型的檢查表助手,幫助作者比對論文文本和檢查表項目,這對捕捉無意中的遺漏有價值,但當遺漏是故意的時候,助手能做的同樣有限——它能檢查論文是否**聲稱**報告了誤差範圍,卻無法檢查那些誤差範圍是否來自真實運行的方差。
ACM的製品評估(Artifact Evaluation)走得更遠:志願者真正下載作者提交的代碼,檢查它是否有文檔、能否運行、能否產出結果。通過評估的論文會獲得徽章。這個機制的價值在於激勵了代碼共享,並能發現損壞的流程。但它有三個內生的局限。首先,它是可選的,拒絕參與沒有懲罰。其次,在大多數會議,它發生在接受之後,不影響錄用決定。最關鍵的是,它檢驗的是代碼**能否**產生結果,而不是它**是否產生了論文裡報告的那些具體數字**——作者完全可以提交一份能運行、輸出合理數字的代碼,同時在論文裡報告來自另一次、更漂亮的運行的數字。一項覆蓋USENIX Security、ACM CCS、IEEE S&P和NDSS四個頂級安全會議近十年、近750篇論文的大規模研究發現,只有40%的論文包含製品,而可用製品中只有44%能成功運行,意味著大約只有18%的被研究論文產出了可用的代碼。更重要的是,這些會議引入製品評估委員會之後,製品的可用性和可運行性並沒有出現統計上顯著的改善。
Weights & Biases、MLflow、Neptune這類實驗日誌平台在內部實驗管理上很有用,能記錄超參數、指標和系統資訊。然而它們是作者控制的——作者決定記錄什麼、分享哪次運行、在分享之前是否修改日誌。沒有獨立驗證,這些平台的日誌只能證明作者**選擇展示**了什麼,而不是**真實發生**了什麼。
預註冊(Pre-registration)是另一種思路:論文在收集數據之前先接受基於實驗方案的評審,改變了同行評審的激勵結構——審稿人評估的是設計的合理性,而不是結果有多漂亮。這是一個很好的互補機制,但它不是替代品。預註冊鎖定的是**計劃**,而不是**執行**。一個預註冊的研究最終還是要報告數字,那些數字依然在同樣的無驗證體系里被提交。
軟體供應鏈安全領域有一些很強的基礎設施。in-toto通過密碼學手段確保軟體構建流程的完整性,為每個構建步驟記錄簽名證明;Sigstore為開源軟體發布提供免費可用的簽名服務。這些系統解決的是一個相關但不同的問題:它們把一個發布的製品綁定到一個特定的構建過程。然而,它們都不把一個數值結果(比如在測試集上的準確率)綁定到產生它的計算過程。這個空白,正是這篇論文關心的。
研究團隊還提出了一個有趣的類比:ICML 2025明確禁止審稿人用生成式AI寫審閱意見,或把論文內容輸入這類工具,理由是社區無法驗證一篇審閱意見是否反映了真實的人類判斷。一篇由語言模型生成的審閱意見,單靠目測與人寫的已經無法區分。社區認識到這是一個信任問題,並用政策來應對。然而,同樣的邏輯應用於實驗結果時,一個語言模型被要求生成"合理的基準測試數字"所產出的結果表,與真實訓練運行的結果表同樣無法靠目測區分。社區對偽造審閱意見的回應是立即的、可執行的懲罰,而對偽造結果的回應,是一張檢查表。
---
三、到底什麼是"實驗不可否認性",它要求什麼
研究團隊在論文第四節給出了這個問題的正式定義,但核心思想用一句話就可以講清楚:**對於一個報告的實驗結果,必須存在一份防篡改記錄,把報告的數字與產生它的具體計算綁定在一起,而且論文作者事後無法修改或否認這份記錄。**
"不可否認性"這個詞借自安全學,在那裡它的經典含義是:消息的發送方無法事後否認"我沒有發過這條消息"。對應到科學實驗:作者無法事後否認或篡改"我的程序跑出來的就是這個數字"。
這個概念和相鄰的幾個概念是不同的,理解這些區別很重要。可重複性(reproducibility)問的是別人能不能重新運行你的實驗。可復現性(replicability)問的是重新運行是否會產生相同的結果。溯源性(provenance)問的是數據和代碼從哪裡來。而不可否認性問的是:報告的結果是否與作者無法事後篡改的真實執行相綁定。
為了讓任何實現方案都能被評估,研究團隊給出了這個問題的抽象規格說明。輸入端是一次計算,包含可執行代碼(源文件、依賴、框架版本)、配置(超參數、隨機種子、數據選擇)、硬體環境(CPU、加速器、內存),以及數據集——數據集絕不離開作者自己的機器。計算產生若干指標:準確率、F1、損失等。輸出端是一份簽名證明,把代碼的密碼學摘要、配置摘要、硬體環境指紋、報告的指標值、運行時遙測數據(CPU時間、內存、加速器利用率)、標準輸出的摘要,全部捆綁在一起,可以用一個獨立方持有的公鑰來驗證。
任何合規協議必須滿足六個安全性質。**被動性**:觀察者不能修改計算,結果必須來自作者自己的運行。**數據盲性**:觀察者絕不訪問數據集本身,可以記錄數據集的大小和流水線結構,但不能看到數據內容——這確保了作者不需要共享敏感或專有數據。**執行綁定性**:報告的指標必須與產生它們的具體執行相關聯,運行時遙測必須與真實計算可對應——一個聲稱在大型數據集上用GPU訓練的結果,應該顯示與這個聲明一致的硬體活動,一個沒有可測量計算量就出現的指標是一個危險信號。**防篡改性**:證明必須簽名,任何欄位的任何修改都可被檢測到,改一個指標值、一個超參數、一個時間戳、甚至標準輸出里的一個字符,簽名就會失效。**作者-密鑰分離**:簽名密鑰不能由作者持有,否則作者可以為任何內容創建有效證明,密鑰必須存放在一個對論文是否被錄用沒有利益關係的獨立證明服務中。**獨立可驗證性**:任何人——會議、審稿人、未來的讀者——都必須能夠不信任作者地驗證證明,驗證是簽名記錄和公鑰的公開函數。
研究團隊還特別強調,實驗不可否認性不是機器學習專屬的問題。系統基準測試、優化結果、基於電腦模擬的科學實驗、智能體評估——任何產生計算性經驗性聲明的領域都適用。這個框架被設計成儘可能大範圍覆蓋的。
---
四、攻擊者會怎麼繞過這個系統
好的安全設計必須從攻擊者的視角出發。研究團隊在第五節誠實地列舉了各種攻擊場景,以及這個協議對每種攻擊能做什麼、不能做什麼。
最基本的攻擊是**文本層面的偽造**:作者在運行之後直接編輯論文裡的數字,或者根本沒有運行就憑空捏造數字。對抗手段是在提交時把論文的聲明與簽名記錄比對,數字不符就會被檢測到。
**日誌篡改**:作者在運行之後修改訓練日誌。簽名記錄包含標準輸出的摘要,在會話封存時凍結,此後的任何編輯都會使簽名失效。
**選擇性報告**:作者跑了很多次,只報告最漂亮的那次。簽名會話一次綁定一次運行,攻擊者提交那次被選中運行的證明,其他運行被隱藏。這個問題預註冊和在證明記錄里記錄運行次數能部分緩解,但不可否認性本身並不能完全消除它。
**虛假訓練循環**:作者寫一個腳本,輸出看起來合理的指標和遙測數據,但實際上沒有做任何真正的計算。硬體問責層會標記這類淺層偽造:一個聲稱在大數據集上用GPU訓練的論文,應該顯示匹配的GPU活動和內存使用。一個攻擊者如果要運行一個計算密集型腳本來產生自己選定的數字,那他已經做了真實研究的大部分工作。
**作業系統層面的篡改**:一個被攻陷的作業系統向用戶空間的觀察者提供虛假的遙測數據。一個被修改的核心可以返回偽造的計數器,或者攔截庫調用讓觀察者讀到攻擊者想要的內容。一個純用戶空間的觀察者無法防止這種攻擊。
**固件層面的攻擊**:一個謊報硬體資訊的虛擬化環境,或者錯誤報告計數器的惡意固件,威脅更強。用戶空間觀察者同樣無法防止。
**證明服務被攻陷**:如果簽名密鑰被盜,攻擊者就可以為任何內容生成有效證明。這是一個治理和運營問題,而非密碼學問題,通過聯邦化、密鑰輪換和獨立審計來應對。
研究團隊對這些局限保持坦誠:純軟體協議可以處理文本層面的偽造、日誌編輯、簡單的選擇性報告和淺層假訓練,但無法對付擁有核心或硬體訪問權限的特權攻擊者。不過,這個框架改變了一件根本性的事情:偽造的成本。沒有不可否認性時,偽造只需要一個文本編輯器。有了不可否認性,偽造需要運行真實計算,或者攻陷一個核心。這兩者的難度差距是巨大的。
---
五、K-Veritas:一個用來證明這件事可以做到的原型
知道問題存在並不等於知道怎麼解決。研究團隊在第六節描述了他們實際構建的工具K-Veritas,用Go語言編寫,目的是證明第四節列出的那些性質在現有技術條件下是可以實現的。研究團隊反覆強調:K-Veritas是一個測試平台,不是最終答案,任何滿足那些性質的其他實現都同樣有效。
使用方式非常簡單,作者不需要修改自己的代碼。整個工作流只有三個命令。第一步,`kveritas init`,初始化一個會話。第二步,`kveritas run -- python train.py`,在K-Veritas的包裹下運行現有的訓練腳本。第三步,`kveritas seal --output report.pdf`,封存會話並生成簽名報告。
在運行期間,kveritas二進制文件在作業系統層面包裹住這個進程。它以非阻塞方式捕獲標準輸出和標準錯誤(作者仍然能看到自己的輸出),從腳本列印的內容中解析指標,在每次運行前後對源文件進行哈希。一個後台採樣器每t秒記錄一次CPU時間、內存使用、GPU利用率、GPU內存和磁盤I/O。會話關閉時,kveritas對整個會話(文件哈希、標準輸出字節流、解析的指標、硬體樣本、環境摘要)計算一個規範的SHA-256摘要,只把這64個字符的摘要發送給遠程證明服務。結果是服務永遠看不到原始指標、訓練軌跡或訓練數據,它返回對這個摘要的RSA-PSS簽名。作者從來不持有私鑰。最終系統產出一份簽名的PDF報告和一個包含執行時源文件的簽名壓縮包。
研究團隊用兩個真實的模型測試了這套系統:一個小型的Keras LSTM(合成數據)和一個在SST-2情感分析數據集上微調的RoBERTa-base模型。記錄下來的資訊包括GPU型號(NVIDIA GeForce RTX 5060 Ti)、CPU型號(Intel Xeon W-2145 @ 3.70GHz,16核)、訓練時長(分別是6秒和41分鐘)、最終訓練損失、最終驗證準確率、源代碼哈希、標準輸出哈希、會話運行次數、以及4096位RSA-PSS-SHA256數字簽名。
標準輸出哈希把指標值綁定到腳本實際列印的內容。源代碼哈希把代碼綁定到執行時的那個版本。兩者都是被簽名數據的一部分。研究團隊還定義了一個硬體-指標一致性(HMC)分數,作為報告指標與觀察到的硬體活動之間合理性檢查的啟發式度量:LSTM運行得到0.80的HMC分數,並觸發了一個`ZERO_COST_METRIC`標誌(因為運行時間少於1秒),而RoBERTa運行得到0.96的HMC分數,沒有任何標誌。研究團隊將HMC定位為眾多啟發式方法之一,未來的實現會進一步改進。
---
六、要怎麼讓這件事真正發生
一個好的技術方案如果沒有採用路徑,就只是一篇論文。研究團隊在第七節給出了從概念到行業標準的三階段路線圖。
在治理層面,他們認為實驗不可否認性應該由一個獨立的非營利組織作為開放標準來維護,沒有任何機構附屬關係,也沒有對任何研究實驗室、公司或大學的限制性財務關係。這個模式類似於OpenReview——OpenReview作為社區資源提供同行評審基礎設施,不屬於任何單一機構。治理模式在設計上就應該是獨立的:沒有任何單一實體應該控制整個社區依賴的驗證標準。
第一階段是自願階段:會議將不可否認性證明作為可選的提交組件提供,包含經驗證報告的論文獲得可見徽章,審稿人可以通過網頁驗證工具查看報告,無需安裝軟體。第二階段是預期階段:會議讓證明成為預期但非強制的內容,類似於代碼提交在NeurIPS的演變方式,缺失情況被記錄在評審表中,驗證被集成到提交門戶,在上傳時自動進行。第三階段是強制階段:會議要求所有經驗性論文提供證明,沒有證明的論文被直接拒稿或標記為需要額外審查,證明狀態成為標準審稿人資訊的一部分。研究團隊估計從初始採用到第三階段需要3到8年,他們邀請會議試點第一階段,並邀請開發者貢獻框架支持和替代驗證後端。
---
七、反對聲音說什麼,研究團隊怎麼回答
論文第八節用了相當篇幅來正面回應六個常見的反對意見,這種做法本身就說明研究團隊意識到自己的提案面臨真實的阻力。
有人說這會給本來就很慢的流程增加額外負擔。研究團隊部分同意:任何新要求都會增加摩擦。但他們指出,集成一個合規的觀察者,實際上就是在現有命令前加一個前綴,報告是自動生成的,額外工作量和添加一個日誌庫差不多。而不驗證結果的代價——浪費的跟進研究、被撤回的論文、被侵蝕的信任——遠大於包裹一個訓練循環的代價。
有人說有動機的作弊者總會找到繞過的方法。這是實話,研究團隊也不迴避。第五節已經列出了軟體方案無法防禦的攻擊。關鍵在於,這不是追求完美,而是改變作弊的經濟學:沒有不可否認性,作弊只需要文本編輯器;有了不可否認性,作弊需要運行真實計算或攻陷核心,成本差距是真實的。
有人說預註冊已經解決了這個問題。研究團隊的回答是這兩者是互補關係,不是替代關係。預註冊在實驗運行之前鎖定方案,改變同行評審的激勵結構。不可否認性把報告的數字與真實運行相綁定,改變報告結果的證據地位。兩者解決的是不同的問題,會議可以同時要求兩者。
有人說工業界實驗室因為各種顧慮可能難以遵守。研究團隊的回答是分層元數據方案:最低層只需要最終指標、時間戳、框架版本和隨機種子,不需要GPU型號、內部基礎設施細節或任何可能暴露專有架構選擇的內容。想要更強驗證的實驗室可以選擇更高層級,無法披露硬體細節的實驗室在最低層級合規。部分合規總好過完全不合規。
有人說這是在用少數人的不端行為懲罰誠實的研究者。研究團隊的回答正好相反:不可否認性**保護**誠實的研究者。在所有結果都經過驗證的環境裡,誠實的工作自然帶有可信度。現在,一個誠實研究者的結果和一個不誠實研究者的結果具有完全相同的證據地位:未經驗證。不可否認性改變了這一點,經驗證的結果更值得信賴,對誠實產出它們的研究者有利。
最後一個反對意見比較嚴肅:中心化的證明伺服器可能對科學合法性擁有過大的權力,成為單點故障和控制點。研究團隊用兩個設計選擇來應對這個顧慮:治理上,組織必須明確獨立,協議規範公開,有多個合規實現;地位上,驗證結果只是告知判斷,不取代判斷——沒有證明的論文仍然可以被接受,有證明的論文仍然可以被拒絕。長期答案是跨多個獨立證明提供方的聯邦化,研究團隊呼籲社區參與設計。
---
說到底,這篇論文在做一件簡單但被長期忽視的事:把一個人人都知道存在但沒有人正式命名的問題,清楚地說出來,給它一個定義,給它一套要求,然後做出一個能工作的原型來證明它不是空談。
歸根結底,科學信任建立在證據之上。一份防篡改、可獨立驗證的證明,比一張論文裡的表格是更強的證據。現在的情況是,一個誠實研究者五年心血得到的結果,和一個大語言模型五秒鐘生成的"合理數字",在審稿人眼裡的證據地位是完全相同的——都是未經驗證的聲明。
K-Veritas的密鑰不在作者手裡,這一點是整個設計的核心。你可以偽造一張表,你沒有辦法偽造一份你無法訪問私鑰的簽名。這不是萬無一失的,但它把作弊從"動動鍵盤"變成了"攻陷作業系統核心",這兩件事的難度不在一個數量級。
值得思考的是:如果我們接受"偽造審稿意見是值得用政策來對抗的威脅",那麼"偽造實驗結果"應該得到至少同等級別的對待。審稿意見不過是幫助決定一篇論文錄不錄用,而實驗結果本身就是那篇論文存在的理由。對這兩件事的處理方式卻完全不對稱,這個不對稱值得每一個關心科學健康的人認真思考。
有興趣深入了解這項研究的讀者,可以通過arXiv編號2605.08586查詢完整論文。
---
Q&A
Q1:實驗不可否認性和可重複性有什麼區別?
A:可重複性問的是別人能不能重新運行你的實驗並得到相同結果。實驗不可否認性問的是一個更基礎的問題:論文裡報告的數字是否真的來自作者聲稱的那次計算運行,而且這個綁定關係是作者事後無法篡改或否認的。兩者解決的是不同層面的問題,互相補充。
Q2:K-Veritas會不會看到我的訓練數據?
A:不會。K-Veritas的設計原則之一就是數據盲性——觀察者絕對不訪問數據集本身。它只記錄數據集的大小和流水線結構等元資訊,發送給遠程證明服務的只是64個字符的摘要,原始數據、訓練軌跡和指標值永遠不離開作者自己的機器。
Q3:如果證明服務被黑客攻擊了,之前所有的證明是不是都不可信了?
A:這是研究團隊承認的一個真實風險。簽名密鑰一旦被盜,攻擊者就能為任意內容生成有效證明。應對方案是通過定期密鑰輪換(過期的密鑰簽出的證明需要重新審視)、多個獨立證明服務提供商的聯邦化(不依賴單一服務),以及持續的獨立審計來降低這個風險。
