激活特征：正常数据和水印数据的激活模式完全分离，两类数据的高激活（浅色）区域几乎无重叠，相当于激活了两套完全独立的神经元。本质问题：水印任务和主任务是弱耦合 / 完全独立的 —— 水印是 “外挂” 在模型上的额外任务，和主任务的业务特征完全无关。安全隐患：在模型窃取攻击中，攻击者只需要复刻主任务的功能，完全可以通过微调、剪枝等操作删除水印对应的冗余神经元，让水印彻底失效，无法验证版权。

对于一个分类模型来说，输入是样本 x，输出是各类别分数 F(x)。Jacobian 本质上描述的是：输入的每个维度稍微变动一点，会让输出怎么变化。写成形式就是：如果输入是图像，那 Jacobian 可以理解成：改某个像素一点点模型输出会变化多少所以 Jacobian 反映了模型对输入各个方向的敏感程度。第四步：利用Jacobian生成新的样本攻击者根据 Jacobian 找到“最能影响模型判断的方