論文の概要: I Know What You Said: Unveiling Hardware Cache Side-Channels in Local Large Language Model Inference
- arxiv url: http://arxiv.org/abs/2505.06738v2
- Date: Wed, 14 May 2025 16:04:57 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-15 13:24:43.894279
- Title: I Know What You Said: Unveiling Hardware Cache Side-Channels in Local Large Language Model Inference
- Title(参考訳): ローカルな大規模言語モデル推論におけるハードウェアキャッシュサイドチャネルの公開
- Authors: Zibo Gao, Junjie Hu, Feng Guo, Yixin Zhang, Yinglong Han, Siyuan Liu, Haiyang Li, Zhiqiang Lv,
- Abstract要約: ローカルにデプロイ可能な大規模言語モデル(LLM)は、最近、プライバシに敏感なタスクで人気を集めている。
ローカルLSM推論に新たなサイドチャネル脆弱性が出現し、被害者の入力テキストと出力テキストの両方を公開できる。
我々は,オープンソースのLLM推論システムとプロプライエタリなLLM推論システムの両方を対象として,新しい盗聴攻撃フレームワークを設計する。
- 参考スコア(独自算出の注目度): 19.466754645346175
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Large Language Models (LLMs) that can be deployed locally have recently gained popularity for privacy-sensitive tasks, with companies such as Meta, Google, and Intel playing significant roles in their development. However, the security of local LLMs through the lens of hardware cache side-channels remains unexplored. In this paper, we unveil novel side-channel vulnerabilities in local LLM inference: token value and token position leakage, which can expose both the victim's input and output text, thereby compromising user privacy. Specifically, we found that adversaries can infer the token values from the cache access patterns of the token embedding operation, and deduce the token positions from the timing of autoregressive decoding phases. To demonstrate the potential of these leaks, we design a novel eavesdropping attack framework targeting both open-source and proprietary LLM inference systems. The attack framework does not directly interact with the victim's LLM and can be executed without privilege. We evaluate the attack on a range of practical local LLM deployments (e.g., Llama, Falcon, and Gemma), and the results show that our attack achieves promising accuracy. The restored output and input text have an average edit distance of 5.2% and 17.3% to the ground truth, respectively. Furthermore, the reconstructed texts achieve average cosine similarity scores of 98.7% (input) and 98.0% (output).
- Abstract(参考訳): ローカルにデプロイできる大規模言語モデル(LLM)は、最近プライバシーに敏感なタスクで人気を集めており、Meta、Google、Intelといった企業が開発において重要な役割を果たしている。
しかし、ハードウェアキャッシュサイドチャネルのレンズによるローカルLSMのセキュリティは未解明のままである。
本稿では, トークン値とトークン位置の漏洩により, 被害者の入力テキストと出力テキストの両方を露呈し, ユーザのプライバシーを損なうような, ローカルLLM推論における新たなサイドチャネル脆弱性を明らかにする。
具体的には,トークン埋め込み操作のキャッシュアクセスパターンからトークン値を推測し,自己回帰復号フェーズのタイミングからトークン位置を推定できることを見出した。
これらのリークの可能性を実証するために,オープンソースおよびプロプライエタリなLLM推論システムを対象とした,新しい盗聴攻撃フレームワークを設計する。
攻撃フレームワークは被害者のLSMと直接対話せず、特権なしで実行できる。
Llama, Falcon, Gemmaなど, 実運用のLLM展開に対する攻撃の評価を行い, 攻撃が有望な精度を達成できたことを示す。
復元された出力と入力テキストの平均編集距離は、それぞれ5.2%と17.3%である。
さらに、復元されたテキストは平均コサイン類似度スコア98.7%(インプット)と98.0%(アウトプット)を達成している。
関連論文リスト
- Defending against Indirect Prompt Injection by Instruction Detection [81.98614607987793]
本稿では, 外部データを入力として取り込んで, 前方および後方の伝搬中におけるLCMの動作状態を利用して, 潜在的なIPI攻撃を検出する手法を提案する。
提案手法は,ドメイン内設定で99.60%,ドメイン外設定で96.90%,攻撃成功率でBIPIAベンチマークで0.12%に低下する。
論文 参考訳(メタデータ) (2025-05-08T13:04:45Z) - Spill The Beans: Exploiting CPU Cache Side-Channels to Leak Tokens from Large Language Models [4.5987419425784966]
LLM(Large Language Models)によって生成されるトークンをリークするキャッシュサイドチャネルの新しいアプリケーションであるSpill The Beansを紹介します。
重要な課題はLLMの大規模化であり、計算集約的な操作の性質上、キャッシュからベクターを埋め込むことがすぐになくなる。
より多くのトークンの監視は語彙リークの可能性を増大させるが、消去によってキャッシュがヒットする可能性を高める。
LLMの展開には新たな脆弱性があり、高度なモデルでさえ従来のサイドチャネル攻撃の影響を受けやすいことが判明した。
論文 参考訳(メタデータ) (2025-05-01T19:18:56Z) - Pathway to Secure and Trustworthy ZSM for LLMs: Attacks, Defense, and Opportunities [11.511012020557326]
本稿では,ZSMネットワークにおける大規模言語モデル(LLM)の微調整に伴うセキュリティ脆弱性について検討する。
LLMをサービスとして使用する場合の個人データ漏洩につながる可能性のあるダウンストリームタスクに対して,メンバシップ推論攻撃が有効であることを示す。
論文 参考訳(メタデータ) (2024-08-01T17:15:13Z) - Human-Interpretable Adversarial Prompt Attack on Large Language Models with Situational Context [49.13497493053742]
本研究は,無意味な接尾辞攻撃を状況駆動型文脈書き換えによって意味のあるプロンプトに変換することを検討する。
我々は、独立して意味のある敵の挿入と映画から派生した状況を組み合わせて、LLMを騙せるかどうかを確認します。
当社のアプローチでは,オープンソースとプロプライエタリなLLMの両方で,状況駆動型攻撃を成功させることが実証されている。
論文 参考訳(メタデータ) (2024-07-19T19:47:26Z) - Uncertainty is Fragile: Manipulating Uncertainty in Large Language Models [79.76293901420146]
大規模言語モデル(LLM)は、出力の信頼性が不可欠である様々な高い領域で採用されている。
本研究では,不確実性推定の脆弱性を調査し,攻撃の可能性を探る。
攻撃者がLSMにバックドアを埋め込むことができ、入力中の特定のトリガーによって起動されると、最終的な出力に影響を与えることなくモデルの不確実性を操作できることを示す。
論文 参考訳(メタデータ) (2024-07-15T23:41:11Z) - Hidden in Plain Sight: Exploring Chat History Tampering in Interactive Language Models [12.920884182101142]
大規模言語モデル(LLM)は、実世界のアプリケーションで普及し、素晴らしいテキスト生成性能を示している。
LLMベースのチャットシステムは、対話的に振る舞うためには、事前に定義された構造に従って、事前のチャット履歴を入力のコンテキストとして統合する必要がある。
本稿では,目標モデルの事前知識を必要とせずに,LLM会話にユーザ提供履歴を注入するための体系的手法を提案する。
論文 参考訳(メタデータ) (2024-05-30T16:36:47Z) - Defending Against Indirect Prompt Injection Attacks With Spotlighting [11.127479817618692]
一般的なアプリケーションでは、複数の入力は1つのテキストストリームにまとめることで処理できる。
間接的なプロンプトインジェクション攻撃は、ユーザコマンドと共に処理されている信頼できないデータに、敵命令を埋め込むことによって、この脆弱性を利用する。
我々は,複数の入力源を識別するLLMの能力を向上させるために,迅速なエンジニアリング技術群であるスポットライティングを紹介した。
論文 参考訳(メタデータ) (2024-03-20T15:26:23Z) - Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。
我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。
ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
論文 参考訳(メタデータ) (2023-12-21T01:08:39Z) - SmoothLLM: Defending Large Language Models Against Jailbreaking Attacks [99.23352758320945]
SmoothLLMは,大規模言語モデル(LLM)に対するジェイルブレーキング攻撃を軽減するために設計された,最初のアルゴリズムである。
敵が生成したプロンプトが文字レベルの変化に対して脆弱であることから、我々の防衛はまず、与えられた入力プロンプトの複数のコピーをランダムに摂動し、対応する予測を集約し、敵の入力を検出する。
論文 参考訳(メタデータ) (2023-10-05T17:01:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。