新型侧信道AI攻击技术曝光 无需接触即可窃取大模型参数

近期美国加州大学伯克利分校安全研究团队披露新型AI侧信道攻击技术，可在无系统访问权限、无模型调用接口权限的前提下，仅通过采集分析大模型推理阶段的功耗、电磁辐射特征，还原核心权重数据，准确率最高可达99.2%，OpenAI GPT系列、Google Gemini等主流商用大模型均存在被攻击风险。

本次公布的攻击技术相关论文，已入选2024年IEEE国际安全与隐私研讨会的重磅成果名录，研究团队在对照实验中仅使用售价不足1000美元的便携辐射传感器，在距离部署开源Llama 2 7B模型的服务器3米范围内，仅采集2小时运行数据，就成功还原了92%的模型核心权重参数。

传统AI模型的安全防护体系，普遍围绕软件层设计：从接口调用限流、访问权限管控到代码层面的防逆向工程，核心逻辑是阻止未授权用户接触到模型的核心数据。但本次曝光的侧信道攻击完全绕开了所有软件层面的防护，它的核心逻辑是捕捉大模型推理过程中，不同参数运算产生的细微功耗、电磁辐射差异，通过提前训练好的特征匹配模型，反向还原出被攻击大模型的权重数据。
无接触、无权限要求是该攻击最具威胁性的特征，哪怕是完全断网、不对外开放任何接口的私有化部署大模型，只要处于运行状态，就存在被窃取的可能，这类攻击路径此前完全处于行业防护盲区。

研究团队的测试结果显示，目前所有基于Transformer架构的主流大语言模型，包括OpenAI的GPT-4o、Google Gemini Advanced、DeepSeek V3等，都存在被该技术攻击的风险，哪怕是参数规模超过千亿的闭源商用大模型，在无屏蔽环境下的攻击还原准确率也能达到87%以上。
对于金融、政务等对数据安全要求极高的领域而言，该漏洞的影响更为严重：不少机构为了数据安全选择私有化部署大模型，却完全忽略了物理层的安全防护，此前某头部云服务商的内测环境中，已经出现过邻位租户通过功耗侧信道，窃取同物理机上部署的大模型参数的未公开案例。

据了解，研究团队早在2024年6月就已向全球Top10大模型厂商提交了漏洞预警，目前相关的防护方案研发已经进入落地阶段。OpenAI、Google已经在最新的推理优化框架中加入了随机功耗混淆模块，通过在模型推理过程中插入无用运算单元，打乱功耗和电磁辐射的特征规律，可将攻击的准确率降低到10%以下。
国内多家AI服务器厂商也在同步研发带电磁屏蔽功能的专用大模型机柜，预计2025年第一季度就会量产上市。不过业内人士也提醒，短期来看，部署私有化大模型的机构首先要强化机房的物理准入管控，避免无关人员携带电子设备靠近服务器集群，最大程度降低被攻击的风险。

（图像由AI生成）