针对 LLM 的侧信道攻击

Source: Schneier on Security

（未提供需要翻译的正文内容。如需翻译，请提供完整的文本。）

高效语言模型推理的远程时序攻击

摘要： 随着语言模型规模的扩大，其能力显著提升。但更大的模型往往更慢，因此出现了大量研究工作（例如投机采样或并行解码），旨在提升语言模型生成的（平均情况）效率。这些技术会引入与数据相关的时序特性。我们展示了利用这些时序差异进行时序攻击的可能性。通过监控受害用户与远程语言模型之间的（加密）网络流量，我们可以通过观察响应的快慢来获取消息内容的信息。在完全的黑盒访问下，在开源系统上我们展示了能够以 90 % 以上的精度识别用户对话的主题（例如医疗建议 vs. 编程帮助），在 OpenAI 的 ChatGPT 和 Anthropic 的 Claude 等生产系统上，我们能够区分具体的消息或推断用户的语言。我们进一步表明，主动攻击者可以利用提升攻击（boosting attack）在开源系统中恢复消息中包含的个人身份信息（如电话号码或信用卡号）。我们最后给出潜在的防御措施并提出未来工作的方向。

---

当投机泄露秘密：LLM 中投机解码的侧信道

摘要： 部署的大型语言模型（LLM）常常依赖投机解码，这是一种并行生成并验证多个候选 token 的技术，用以提升吞吐量和延迟。在本工作中，我们揭示了一种新的侧信道：通过监测每轮的 token 数量或数据包大小，可以推断出输入相关的正确与错误投机模式。我们在研究原型和生产级 vLLM 服务框架上进行评估，展示了监控这些模式的对手能够以超过 75 % 的准确率对用户查询（来自 50 条提示的集合）进行指纹识别，覆盖四种投机解码方案（温度 0.3）：REST（100 %）、LADE（91.6 %）、BiLD（95.2 %）和 EAGLE（77.6 %）。即使在温度 1.0 时，准确率仍远高于 2 % 的随机基线——REST（99.6 %）、LADE（61.2 %）、BiLD（63.6 %）和 EAGLE（24 %）。我们还展示了攻击者以超过 25 token/秒的速率泄露用于预测的机密数据存储内容的能力。为防御这些攻击，我们提出并评估了一套缓解措施，包括数据包填充和逐轮 token 聚合。

Whisper Leak：对大型语言模型的侧信道攻击

摘要： 大型语言模型（LLMs）正日益在包括医疗、法律服务和机密通信等敏感领域中部署，隐私至关重要。本文介绍了 Whisper Leak，这是一种侧信道攻击，通过分析流式响应中的数据包大小和时序模式，从加密的 LLM 流量中推断用户提示的主题。尽管 TLS 加密保护了内容，但这些元数据模式泄露了足够的信息，使得主题分类成为可能。我们在来自主要供应商的 28 种流行 LLM 上演示了该攻击，取得了接近完美的分类效果（常常 > 98 % AUPRC），即使在极端类别不平衡（10,000 : 1 噪声‑对目标比例）下也能保持高精度。对于许多模型，我们实现了 100 % 的精确度来识别诸如“洗钱”等敏感主题，同时恢复了 5‑20 % 的目标对话。此行业范围的漏洞对受到 ISP、政府或本地对手网络监控的用户构成了重大风险。我们评估了三种缓解策略——随机填充、令牌批处理和数据包注入——发现虽然每种方法都能降低攻击效果，但均未提供完整的防护。通过负责任的披露，我们已与供应商合作实施了初步的对策。我们的研究强调，随着 AI 系统处理日益敏感的信息，LLM 供应商必须解决元数据泄露问题。