一个非拟合组织计划开放分类器F，但希望通过将水印直接嵌入模型中来检测其使用。爱丽丝的任务是创建此水印。鲍勃的目的是使F在对手方面稳健，即确保很难找到看起来不奇怪但会导致F犯错误的查询。两个面临挑战：爱丽丝努力创建无法消除的水印，而鲍勃的防御措施变得越来越复杂。他们发现自己的项目已连接。爱丽丝的想法是在F中种植一个后门[1，2]，使她能够用隐藏的扳机来制作查询，该扳机激活后门，导致F错误分类，从而检测到F的使用。鲍勃的方法涉及平滑F以增强鲁棒性，这无意中消除了此类后门[2]。他们意识到自己的挑战是同一枚硬币的两个方面：一项任务的不可能可以保证另一个任务的成功。