Ameaças Emergentes de Canais Laterais Miram Modelos de Linguagem de Grande Porte (LLMs)

Pesquisadores Descobrem Vulnerabilidades Críticas de Canais Laterais em LLMs

Pesquisadores de segurança identificaram múltiplos vetores de ataque de canais laterais direcionados a modelos de linguagem de grande porte (LLMs), expondo prompts de usuários, tópicos de conversas e até mesmo informações pessoalmente identificáveis (PII), apesar das comunicações criptografadas. Três artigos recentemente publicados detalham técnicas inovadoras que exploram características de temporização, padrões de decodificação especulativa e vazamento de metadados em sistemas de inferência de LLMs.

1. Ataques Remotos de Temporização em Inferência Eficiente de LLMs

Uma equipe de pesquisadores demonstrou como otimizações de eficiência em LLMs—como amostragem especulativa e decodificação paralela—introduzem variações de temporização dependentes de dados que podem ser exploradas remotamente. Ao analisar o tráfego de rede criptografado entre um usuário e um serviço de LLM, atacantes podem inferir:

• Tópicos de conversas (por exemplo, aconselhamento médico vs. assistência em programação) com precisão >90% em sistemas de código aberto
• Mensagens específicas ou linguagem do usuário em plataformas de produção como OpenAI’s ChatGPT e Anthropic’s Claude
• Recuperação de PII (por exemplo, números de telefone, detalhes de cartões de crédito) via ataques de boosting ativo em modelos de código aberto

O ataque requer apenas acesso black-box, tornando-o viável para adversários que monitoram o tráfego de rede. Defesas potenciais incluem modelagem de tráfego e técnicas de inferência de tempo constante, embora estas possam impactar o desempenho.

2. Canais Laterais via Decodificação Especulativa em LLMs

A decodificação especulativa—uma técnica usada para melhorar a vazão e a latência de LLMs—foi descoberta como vazadora de informações sensíveis por meio de padrões de especulação dependentes de entrada. Pesquisadores mostraram que monitorar contagens de tokens por iteração ou tamanhos de pacotes permite que atacantes:

• Identifiquem fingerprints de consultas de usuários a partir de um conjunto de 50 prompts com precisão >75% em quatro esquemas de decodificação especulativa (REST, LADE, BiLD, EAGLE)
• Vazem conteúdos de datastores confidenciais a taxas superiores a 25 tokens/segundo

Mesmo em configurações de temperatura mais altas (por exemplo, 1.0), a precisão permaneceu significativamente acima das linhas de base aleatórias. Mitigações propostas incluem preenchimento de pacotes e agregação de tokens por iteração, embora estas introduzam trade-offs em eficiência.

3. Whisper Leak: Inferência de Prompts Baseada em Metadados

O ataque Whisper Leak explora padrões de tamanho e temporização de pacotes no tráfego criptografado de LLMs para classificar tópicos de prompts de usuários. Avaliado em 28 LLMs populares de grandes provedores, o ataque alcançou:

• Classificação quase perfeita (frequentemente >98% AUPRC) para tópicos sensíveis como "lavagem de dinheiro"
• Alta precisão mesmo com desequilíbrio extremo de classes (razão ruído-alvo de 10.000:1)
• Recuperação de 5-20% das conversas-alvo em alguns modelos

O ataque representa riscos para usuários sob vigilância de rede por ISPs, governos ou adversários locais. Mitigações como preenchimento aleatório, batching de tokens e injeção de pacotes reduzem a eficácia, mas não eliminam a ameaça.

Impacto e Recomendações

Esses ataques de canais laterais destacam um risco crescente à medida que os LLMs são implantados em saúde, serviços jurídicos e comunicações confidenciais. Principais considerações para profissionais de segurança:

• Monitorar padrões de tráfego criptografado em busca de variações anômalas de temporização ou tamanho de pacotes
• Avaliar implementações de decodificação especulativa quanto a possíveis vazamentos de informações
• Implementar modelagem de tráfego (por exemplo, respostas de tempo constante) quando viável
• Adotar técnicas de ofuscação de metadados (por exemplo, preenchimento, batching) para reduzir vazamentos

Embora alguns provedores já tenham começado a implantar contramedidas, a pesquisa ressalta a necessidade de colaboração em toda a indústria para abordar o vazamento de metadados em sistemas de IA.