该论文从模型多重性的角度重新审视了模型窃取攻击的传统观点。通常认为，攻击者通过查询目标模型构建高保真代理模型，可以获得与原始服务提供商相近的经济优势。然而，论文指出由于查询提取只能提供目标模型输入输出行为的部分监督，代理模型并非唯一确定：存在多个近最优代理模型（即Rashomon Set），它们在保真度上相似，但在部署相关的其他性能指标（如公平性、鲁棒性等）上可能存在显著差异。作者没有采用经典的基于学习的模型窃取攻击，而是通过计算代理模型的Rashomon Set，并使用多重性指标（模糊性、差异性、Rashomon容量）和群体公平性指标来评估其多样性。在表格数据、医学影像和NLP任务上的实验表明，尽管代理模型对目标模型的保真度相近，但在其他关键性能指标上可能存在巨大差异。这些发现质疑了高保真代理模型与目标模型在实际部署场景中等价性的假设，对模型窃取攻击的风险评估提供了新的视角。