Neue Side-Channel-Bedrohungen zielen auf große Sprachmodelle (LLMs) ab

Forscher decken kritische Side-Channel-Schwachstellen in LLMs auf

Sicherheitsforscher haben mehrere Side-Channel-Angriffsvektoren identifiziert, die auf große Sprachmodelle (LLMs) abzielen und Nutzeranfragen, Gesprächsthemen sowie sogar personenbezogene Daten (PII) offenlegen – trotz verschlüsselter Kommunikation. Drei kürzlich veröffentlichte Studien beschreiben neuartige Techniken, die Timing-Charakteristika, spekulative Decodierungsmuster und Metadatenlecks in LLM-Inferenzsystemen ausnutzen.

1. Remote-Timing-Angriffe auf effiziente LLM-Inferenz

Ein Forscherteam zeigte, wie Effizienzoptimierungen in LLMs – wie spekulatives Sampling und parallele Decodierung – datenabhängige Timing-Variationen einführen, die remote ausgenutzt werden können. Durch die Analyse verschlüsselter Netzwerkkommunikation zwischen einem Nutzer und einem LLM-Dienst können Angreifer folgendes ableiten:

• Gesprächsthemen (z. B. medizinische Beratung vs. Programmierhilfe) mit >90 % Präzision bei Open-Source-Systemen
• Spezifische Nachrichten oder Nutzeranfragen auf Produktionsplattformen wie OpenAI’s ChatGPT und Anthropic’s Claude
• Wiederherstellung von PII (z. B. Telefonnummern, Kreditkartendaten) durch aktive Boosting-Angriffe auf Open-Source-Modelle

Der Angriff erfordert lediglich Black-Box-Zugriff, was ihn für Angreifer, die den Netzwerkverkehr überwachen, praktikabel macht. Mögliche Abwehrmaßnahmen umfassen Traffic-Shaping und Constant-Time-Inferenztechniken, allerdings können diese die Performance beeinträchtigen.

2. Side Channels durch spekulative Decodierung in LLMs

Spekulative Decodierung – eine Technik zur Verbesserung des LLM-Durchsatzes und der Latenz – wurde als Quelle für die Preisgabe sensibler Informationen durch eingabeabhängige Spekulationsmuster identifiziert. Forscher zeigten, dass die Überwachung der Token-Anzahl pro Iteration oder Paketgrößen es Angreifern ermöglicht:

• Nutzeranfragen zu identifizieren aus einem Set von 50 Prompts mit >75 % Genauigkeit über vier spekulative Decodierungsschemata (REST, LADE, BiLD, EAGLE)
• Vertrauliche Datenspeicherinhalte mit Raten von über 25 Token/Sekunde zu extrahieren

Selbst bei höheren Temperatureinstellungen (z. B. 1.0) blieb die Genauigkeit signifikant über zufälligen Baseline-Werten. Vorgeschlagene Gegenmaßnahmen umfassen Paket-Padding und iterationsweise Token-Aggregation, allerdings bringen diese Effizienzkompromisse mit sich.

3. Whisper Leak: Metadatenbasierte Prompt-Inferenz

Der Whisper-Leak-Angriff nutzt Paketgrößen- und Timing-Muster in verschlüsseltem LLM-Traffic, um Nutzer-Prompt-Themen zu klassifizieren. Evaluiert über 28 beliebte LLMs von großen Anbietern, erzielte der Angriff:

• Nahezu perfekte Klassifizierung (oft >98 % AUPRC) für sensible Themen wie „Geldwäsche“
• Hohe Präzision selbst bei extremer Klassenungleichheit (10.000:1 Rausch-zu-Ziel-Verhältnis)
• Wiederherstellung von 5–20 % der Zielgespräche in einigen Modellen

Der Angriff birgt Risiken für Nutzer, die unter Netzwerküberwachung durch ISPs, Regierungen oder lokale Angreifer stehen. Abwehrmaßnahmen wie zufälliges Padding, Token-Batching und Paketinjektion reduzieren die Wirksamkeit, beseitigen die Bedrohung jedoch nicht vollständig.

Auswirkungen und Empfehlungen

Diese Side-Channel-Angriffe verdeutlichen ein wachsendes Risiko, da LLMs in Gesundheitswesen, juristischen Diensten und vertraulicher Kommunikation eingesetzt werden. Wichtige Erkenntnisse für Sicherheitsexperten:

• Überwachen Sie verschlüsselten Traffic auf anomale Timing- oder Paketgrößenvariationen
• Bewerten Sie Implementierungen spekulativer Decodierung auf mögliche Informationslecks
• Implementieren Sie Traffic-Shaping (z. B. Constant-Time-Antworten), wo möglich
• Setzen Sie Metadaten-Obfuskationstechniken (z. B. Padding, Batching) ein, um Lecks zu reduzieren

Obwohl einige Anbieter bereits Gegenmaßnahmen einführen, unterstreicht die Forschung die Notwendigkeit einer branchenweiten Zusammenarbeit, um Metadatenlecks in KI-Systemen zu adressieren.