大型语言模型面临新兴侧信道威胁：隐私泄露风险解析

研究人员揭示大型语言模型（LLM）中的严重侧信道漏洞

安全研究人员近期发现多种针对大型语言模型（LLM）的侧信道攻击向量，这些攻击能够在加密通信环境下泄露用户提示、对话主题，甚至个人身份信息（PII）。三篇最新发表的研究论文详细介绍了利用LLM推理系统中的时序特征、推测解码模式及元数据泄露的新型攻击技术。

1. 高效LLM推理中的远程时序攻击

研究团队展示了LLM中的效率优化措施（如推测采样和并行解码）如何引入依赖于数据的时序变化，进而被远程攻击者利用。通过分析用户与LLM服务之间的加密网络流量，攻击者可推断以下信息：

• 对话主题（如医疗咨询 vs. 编程协助），在开源系统中的精度超过90%
• 特定消息或用户语言，适用于OpenAI的ChatGPT和Anthropic的Claude等生产平台
• 个人隐私信息恢复（如电话号码、信用卡信息），通过针对开源模型的主动增强攻击实现

该攻击仅需黑盒访问，使得监控网络流量的攻击者能够轻松实施。潜在防御措施包括流量整形和恒定时间推理技术，但可能影响性能。

2. LLM推测解码中的侧信道泄露

推测解码（一种用于提升LLM吞吐量和降低延迟的技术）被发现可通过依赖于输入的推测模式泄露敏感信息。研究表明，通过监控每次迭代的token数量或数据包大小，攻击者可实现：

• 从50个提示集中识别用户查询，在四种推测解码方案（REST、LADE、BiLD、EAGLE）中的准确率超过75%
• 泄露机密数据库内容，速率超过25 tokens/秒

即使在较高温度设置（如1.0）下，准确率仍显著高于随机基线。建议的缓解措施包括数据包填充和迭代式token聚合，但会带来效率权衡。

3. Whisper Leak：基于元数据的提示推断攻击

Whisper Leak攻击利用加密LLM流量中的数据包大小和时序模式，对用户提示主题进行分类。在对28个主流LLM的评估中，该攻击取得了以下成果：

• 对敏感主题（如“洗钱”）的近乎完美分类（通常AUPRC > 98%）
• 即使在极端类别不平衡（噪声与目标比例为10,000:1）的情况下，仍保持高精度
• 在部分模型中恢复5-20%的目标对话

该攻击对处于ISP、政府或本地对手网络监控下的用户构成风险。缓解措施如随机填充、token批处理和数据包注入可降低攻击效果，但无法完全消除威胁。

影响与建议

这些侧信道攻击凸显了LLM在医疗、法律服务及机密通信等领域部署时面临的日益严峻的风险。安全专业人员应关注以下要点：

• 监控加密流量模式，识别异常时序或数据包大小变化
• 评估推测解码实现，防范潜在信息泄露
• 实施流量整形（如恒定时间响应）以降低风险
• 采用元数据混淆技术（如填充、批处理）减少泄露

尽管部分服务提供商已开始部署应对措施，但研究强调了行业协作的必要性，以解决AI系统中的元数据泄露问题。