Keras模型导出ONNX时节点描述泄露本地文件路径问题分析

问题描述

在使用Keras 3.8.0将模型导出为ONNX格式时，发现了一个潜在的安全隐患。导出的ONNX模型中，每个计算节点(node)的描述属性(description)都包含了完整的本地文件系统路径信息。这些路径暴露了Python环境安装位置、项目目录结构等敏感信息。

技术背景

ONNX(Open Neural Network Exchange)是一种开放的神经网络模型表示格式，允许在不同框架之间转换和部署模型。Keras通过model.export()方法支持将模型导出为ONNX格式。

问题表现

当使用Netron等工具可视化导出的ONNX模型时，选择任意非输入/输出节点，可以在节点属性中看到类似以下的调用栈信息：

C:\Users\USER\python_environments\env\lib\site-packages\keras\src\backend\torch\core.py(202): convert_to_tensor
C:\Users\USER\python_environments\env\lib\site-packages\keras\src\ops\core.py(952): convert_to_tensor
...

这些信息完整记录了模型导出时的Python调用栈，包括：

1. Python环境安装路径
2. 项目源代码路径
3. 框架内部实现细节

安全隐患

这种信息泄露可能带来以下风险：

1. 暴露开发环境配置和目录结构
2. 泄露项目文件组织方式
3. 可能被恶意利用进行针对性攻击
4. 不符合企业数据安全规范

问题根源

这个问题源于Keras在导出ONNX模型时，默认将PyTorch后端生成的调用栈信息保留在了节点的doc_string属性中。这些调试信息本应在发布版本中被移除。

解决方案

目前有两种解决方法：

临时解决方案

使用ONNX Python API手动清除节点描述信息：

import onnx

model = onnx.load("model.onnx")
for node in model.graph.node:
    node.doc_string = ""
onnx.save(model, "clean_model.onnx")

长期解决方案

建议Keras团队在未来的版本中：

1. 默认不包含调试信息
2. 提供导出选项控制是否包含调用栈
3. 对路径信息进行匿名化处理

最佳实践

对于生产环境中的模型导出，建议：

1. 始终检查导出模型的元数据
2. 建立模型导出前的清理流程
3. 考虑使用CI/CD流水线自动处理敏感信息
4. 对导出模型进行安全审计

总结

Keras导出ONNX模型时的节点描述信息泄露是一个需要注意的安全问题。开发者在共享或部署模型前，应当检查并清理这些敏感信息。期待Keras在未来版本中提供更安全的默认导出行为。