跳到主要内容

2 篇文档带有标签「侧信道」

查看所有标签

可信执行环境(TEE):硬件把「使用中的数据」围起来,但信任根是芯片厂商、侧信道仍在

一句话摘要:可信执行环境(TEE)用硬件把「使用中的数据」(data in use)圈进一个加密、可远程证明的飞地(enclave),让同租户、恶意 OS / hypervisor、甚至云运营商都看不到里面——这是把 LLM 的 prompt 与权重对云厂商保密的硬件路线。但记牢两条边界:信任根是芯片厂商(你信的是 Intel / AMD / NVIDIA 的密钥与实现),且 TEE 反复被微架构侧信道攻破(Foreshadow 一类)。它是卷五「机密推理」的承重墙,所以先在卷一交代清楚它保证什么、不保证什么。

推理期侧信道:不碰模型,光看流式响应的时序 / 长度就能套出你在聊什么

一句话摘要:即使流量全程加密、模型一个字都不多吐,把我部署起来的那套系统——逐 token 流式、按 token 长度分包、跨用户共享缓存——本身就是一条泄露通道。Weiss 等(USENIX Security 2024)只观测每个加密流式 token 的长度,就把一个 AI 助手响应的约 29% 逐字还原、对约 55% 推断出主题(在 OpenAI ChatGPT-4 与 Microsoft Copilot 的浏览器 + API 流量上演示;披露后厂商已打补丁)。Gu 等(ICML 2025)审计 17 家真实 LLM API 提供方,发现 8 家有 prompt 缓存、其中 7 家是跨用户全局共享(含 OpenAI)——攻击者看到一个异常快的响应,就能推断「别人刚刚提交过同一个 prompt」。结论先行:隐私边界要算到部署层 / 网络层 / 缓存层,不只是模型层;否则你以为加密就安全,其实时序和长度在替你说话。