近期美国加州大学伯克利分校安全研究团队披露新型AI侧信道攻击技术,可在无系统访问权限、无模型调用接口权限的前提下,仅通过采集分析大模型推理阶段的功耗、电磁辐射特征,还原核心权重数据,准确率最高可达99.2%,OpenAI GPT系列、Google Gemini等主流商用大模型均存在被攻击风险。
本次公布的攻击技术相关论文,已入选2024年IEEE国际安全与隐私研讨会的重磅成果名录,研究团队在对照实验中仅使用售价不足1000美元的便携辐射传感器,在距离部署开源Llama 2 7B模型的服务器3米范围内,仅采集2小时运行数据,就成功还原了92%的模型核心权重参数。
传统AI模型的安全防护体系,普遍围绕软件层设计:从接口调用限流、访问权限管控到代码层面的防逆向工程,核心逻辑是阻止未授权用户接触到模型的核心数据。但本次曝光的侧信道攻击完全绕开了所有软件层面的防护,它的核心逻辑是捕捉大模型推理过程中,不同参数运算产生的细微功耗、电磁辐射差异,通过提前训练好的特征匹配模型,反向还原出被攻击大模型的权重数据。
无接触、无权限要求是该攻击最具威胁性的特征,哪怕是完全断网、不对外开放任何接口的私有化部署大模型,只要处于运行状态,就存在被窃取的可能,这类攻击路径此前完全处于行业防护盲区。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录