本文针对黑盒大语言模型（LLM）的蒸馏攻击防御问题展开研究。蒸馏攻击指攻击者通过查询API接口获取教师模型输出，并训练学生模型来复制其能力。近期研究提出输出扰动防御方法，通过修改教师模型输出降低学生模型性能，同时保持对合法用户的可用性。然而，作为较新的防御家族，输出扰动防御缺乏统一的威胁模型，导致难以比较不同方法、评估其与其他攻击的组合效果，或验证其对真实世界攻击者的鲁棒性。这种威胁模型不完备会带来安全隐患：当防御被用于保护知识产权或满足监管合规要求时，模糊的威胁模型可能造成虚假的安全感。作者提出一个三维威胁模型框架，将攻击者能力描述为：查询预算（API调用次数）、数据预算（训练学生模型的数据量）以及接口配置文件（攻击者与API的交互方式）。以anti-distillation采样为案例，作者展示防御是否有效取决于假定的威胁模型。论文主张，未来的蒸馏防御研究以及基于其构建的治理或政策框架，应明确指定并压力测试攻击者在三个维度上的能力。