論文の概要: Bit-Flip Vulnerability of Shared KV-Cache Blocks in LLM Serving Systems
- arxiv url: http://arxiv.org/abs/2604.17249v1
- Date: Sun, 19 Apr 2026 04:31:12 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-21 21:52:52.417086
- Title: Bit-Flip Vulnerability of Shared KV-Cache Blocks in LLM Serving Systems
- Title(参考訳): LLMサービングシステムにおける共有KVキャッシュブロックのビットフリップ脆弱性
- Authors: Yuji Yamamoto, Satoshi Matsuura,
- Abstract要約: vLLMのPrefix Cachingでは、共有KV-cacheブロックは、整合性を保護することなく単一の物理コピーとして存在する。
最悪の場合の重大さを特徴付け、サイレントな発散、選択的伝播、持続的な増幅の3つの特性を識別する。
永続的整合性に基づく対策は、スケジューリング時に単一ビットの破損を検出し、ブロックのキャッシュ寿命に依存しない1つのバッチに累積的なダメージをバウンドする。
- 参考スコア(独自算出の注目度): 0.17188280334580197
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Rowhammer on GPU DRAM has enabled adversarial bit flips in model weights; shared KV-cache blocks in LLM serving systems present an analogous but previously unexamined target. In vLLM's Prefix Caching, these blocks exist as a single physical copy without integrity protection. Using software fault injection under ideal bit targeting, we characterize worst-case severity and identify three properties: (1) Silent divergence - 13 of 16 BF16 bit positions produce coherent but altered outputs, indistinguishable from legitimate responses without a clean baseline. (2) Selective propagation - only requests sharing the targeted prefix are affected. (3) Persistent accumulation - no temporal decay occurs, so cumulative damage grows linearly with subsequent requests. Together, these constitute a threat profile distinct from weight corruption: silent divergence and selective propagation enable detection evasion; persistent accumulation then proceeds unchecked, yielding damage amplification bounded only by how long the block remains cached. A checksum-based countermeasure detects any single-bit corruption at scheduling time, bounding cumulative damage to one batch independent of the block's cache lifetime, with negligible overhead. These results argue for integrity protection of prefix blocks before end-to-end exploitation is demonstrated.
- Abstract(参考訳): GPU DRAM上のRowhammerは、モデル重みの逆ビットフリップを可能にした。
vLLMのPrefix Cachingでは、これらのブロックは整合性を保護することなく単一の物理コピーとして存在する。
1)16BF16ビット位置のサイレント発散 - 13はコヒーレントだが変化した出力を生成し、クリーンなベースラインを使わずに正解と区別できない。
2)選択伝搬 - ターゲットプレフィックスを共有するリクエストのみが影響を受ける。
(3) 持続的な蓄積 - 時間的崩壊は起こらないため、累積的な損傷はその後の要求とともに直線的に増加する。
静かな発散と選択的伝播により検出回避が可能となり、持続的な蓄積は未確認に進み、ブロックがキャッシュされる期間だけに制限されたダメージ増幅をもたらす。
チェックサムベースの対策は、スケジューリング時に単一ビットの破損を検出し、累積的なダメージをブロックのキャッシュ寿命に依存しない1つのバッチにバウンドし、オーバーヘッドを無視する。
これらの結果は、エンドツーエンドのエクスプロイトが実証される前にプレフィックスブロックの整合性保護を主張する。
関連論文リスト
- Compiling Activation Steering into Weights via Null-Space Constraints for Stealthy Backdoors [48.881343993730844]
安全性に整合した大規模言語モデル(LLM)は、現実世界のパイプラインにますますデプロイされている。
敵は通常の評価では動作しないバックドアのチェックポイントを配布することができる。
最近のポストホック重み付け法は、そのようなバックドアを注入するための効率的なアプローチを提供する。
論文 参考訳(メタデータ) (2026-04-14T06:48:33Z) - Jailbreaking the Matrix: Nullspace Steering for Controlled Model Subversion [12.201783188544093]
Head-Masked Nullspace Steering (HMNS) は、モデルのデフォルト動作に最も注意を払っているヘッドを特定する。
これは、幾何学的、解釈可能性的インフォームド介入を利用する最初のジェイルブレイク手法である。
論文 参考訳(メタデータ) (2026-04-11T19:19:05Z) - RAIN: Secure and Robust Aggregation under Shuffle Model of Differential Privacy [46.52109845749167]
本稿では,Shuffle-DPの下でのプライバシー,堅牢性,検証性を両立するフレームワークである騒音のロバスト集約について述べる。
RAINは、アップデートの一貫性を堅牢に測定し、ノイズや匿名化の下で悪意のある影響を制限するために、サインスペースアグリゲーションを採用している。
本研究は,Shuffle-DPの下では強力なプライバシー保証を保ち,精度と収束性において無視できない劣化を伴う攻撃に対して堅牢であることを示す。
論文 参考訳(メタデータ) (2026-03-03T15:41:54Z) - TrapSuffix: Proactive Defense Against Adversarial Suffixes in Jailbreaking [52.72486831074384]
サフィックスベースのジェイルブレイク攻撃は、敵のサフィックス、すなわち短いトークンシーケンスを付加し、LLMを安全でない出力にステアリングする。
提案するTrapSuffixは,推論パイプラインを変更することなく,トラップアラインな動作をベースモデルに注入する,軽量な微調整手法である。
様々なサフィックスベースのジェイルブレイク設定で、TrapSuffixは平均攻撃成功率を0.01%以下に下げ、平均追跡成功率87.9%を達成する。
論文 参考訳(メタデータ) (2026-02-06T11:43:56Z) - RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse [47.85771791033142]
本稿では,防止戦略のシームレスな統合による検出システムの説明可能性を合成するフレームワークであるRedVisorを提案する。
RedVisorは、きめ細かい推論パスを利用して同時に攻撃を検出し、モデルの安全な応答を誘導する最初のアプローチである。
実験により、RedVisorは検出精度とスループットにおいて最先端の防御性能を上回り、無視可能なユーティリティ損失を発生させることを示した。
論文 参考訳(メタデータ) (2026-02-02T08:26:51Z) - NeuroFilter: Privacy Guardrails for Conversational LLM Agents [50.75206727081996]
本研究は,エージェント型大規模言語モデル(LLM)のプライバシを強制する際の計算上の課題に対処する。
NeuroFilterは、標準違反をモデルのアクティベーション空間における単純な方向にマッピングすることで、コンテキスト整合性を運用するガードレールフレームワークである。
7Bから70Bパラメータのモデルをカバーする15万以上のインタラクションに対する包括的な評価は、NeuroFilterの強力なパフォーマンスを示している。
論文 参考訳(メタデータ) (2026-01-21T05:16:50Z) - ByteShield: Adversarially Robust End-to-End Malware Detection through Byte Masking [3.9604662604261858]
エンド・ツー・エンドのマルウェア検出装置は敵の攻撃に弱いことが研究で証明されている。
本稿では,エンド・ツー・エンドのマルウェア検出装置をバイト単位のマスキングにより強化する新しい防御機構を提案する。
論文 参考訳(メタデータ) (2025-12-10T18:13:28Z) - DiffuGuard: How Intrinsic Safety is Lost and Found in Diffusion Large Language Models [50.21378052667732]
我々は、ステップ内およびステップ間ダイナミクスという2つの異なる次元にわたるジェイルブレイク攻撃に対して、dLLM脆弱性の詳細な分析を行う。
デュアルステージアプローチによる脆弱性に対処する,トレーニング不要な防御フレームワークであるDiffuGuardを提案する。
論文 参考訳(メタデータ) (2025-09-29T05:17:10Z) - Predictive-CSM: Lightweight Fragment Security for 6LoWPAN IoT Networks [0.0]
この研究は、この問題に対してより適応的で行動に配慮したアプローチをとる防衛戦略を探求する。
予測CSM(Predictive-CSM)と呼ばれるシステムでは,2つの軽量機構が組み合わさっている。
我々は,初期フラグメントインジェクション,リプレイヘッダ,フェイクデータによる浸水など,一連の攻撃シミュレーションを用いて,本システムをテストに適用した。
論文 参考訳(メタデータ) (2025-06-02T15:15:18Z) - Neural Antidote: Class-Wise Prompt Tuning for Purifying Backdoors in CLIP [51.04452017089568]
CBPT(Class-wise Backdoor Prompt Tuning)は、テキストプロンプトでCLIPを間接的に浄化する効率的な防御機構である。
CBPTは、モデルユーティリティを保持しながら、バックドアの脅威を著しく軽減する。
論文 参考訳(メタデータ) (2025-02-26T16:25:15Z) - Certified Adversarial Robustness of Machine Learning-based Malware Detectors via (De)Randomized Smoothing [9.881799766856476]
我々は,特定の実行可能および逆パッチサイズに対して,敵EXEmpleが存在しないことを保証する,パッチ攻撃に対する認証可能な防御を導入する。
提案手法は, 決定論的ロバスト性証明を提供する (de)randomized smoothing に着想を得たものである。
その結果,本手法は,強いコンテンツ挿入攻撃に対する不整合性を示し,ランダムなスムースティングに基づく防御性能に優れていた。
論文 参考訳(メタデータ) (2024-05-01T08:45:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。