跳到主要内容

1 篇文档带有标签「流式响应」

查看所有标签

推理期侧信道:不碰模型,光看流式响应的时序 / 长度就能套出你在聊什么

一句话摘要:即使流量全程加密、模型一个字都不多吐,把我部署起来的那套系统——逐 token 流式、按 token 长度分包、跨用户共享缓存——本身就是一条泄露通道。Weiss 等(USENIX Security 2024)只观测每个加密流式 token 的长度,就把一个 AI 助手响应的约 29% 逐字还原、对约 55% 推断出主题(在 OpenAI ChatGPT-4 与 Microsoft Copilot 的浏览器 + API 流量上演示;披露后厂商已打补丁)。Gu 等(ICML 2025)审计 17 家真实 LLM API 提供方,发现 8 家有 prompt 缓存、其中 7 家是跨用户全局共享(含 OpenAI)——攻击者看到一个异常快的响应,就能推断「别人刚刚提交过同一个 prompt」。结论先行:隐私边界要算到部署层 / 网络层 / 缓存层,不只是模型层;否则你以为加密就安全,其实时序和长度在替你说话。