論文の概要: Agent-Assisted Side-Channel Attacks on Non-Prefix KV Cache in RAG
- arxiv url: http://arxiv.org/abs/2606.21842v1
- Date: Sat, 20 Jun 2026 02:28:28 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-26 02:49:22.685866
- Title: Agent-Assisted Side-Channel Attacks on Non-Prefix KV Cache in RAG
- Title(参考訳): RAGにおけるNon-Prefix KVキャッシュに対するエージェント支援サイドチャネル攻撃
- Authors: He Sun, Shinan Liu, Siyuan Ma, Junhao Li, Mingjun Xiao, Wenhao Jiang,
- Abstract要約: 非KVキャッシュ融合をターゲットとした、最初のエンドツーエンドのサイドチャネルアタックを導入する。
SpliceLeakは、システマティックな2フェーズのプライバシ侵害を実行する。
SpliceDefenseは、非許容スループットオーバーヘッドでサイドチャネル信号(Delta TTFT 0)を効果的にフラットにする。
- 参考スコア(独自算出の注目度): 17.045113249152234
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Modern Large Language Model (LLM) serving engines increasingly rely on Retrieval-Augmented Generation (RAG) and non-prefix Key-Value (KV) cache fusion to accelerate long-context, multi-tenant inference. While existing KV cache side-channel attacks require strict linear prefix alignment--rendering them ineffective against real-world RAG queries that contain unique, user-specific private prefixes--we uncover a critical class of structural vulnerabilities inherent to chunk-aware memory scheduling. We demonstrate that the deterministic micro-architectural mechanisms used to align and fuse disjoint memory chunks inadvertently leak a continuous "Step-Wave" timing signature. Exploiting this physical observation, we introduce SpliceLeak, the first end-to-end side-channel attack targeting non-prefix KV cache fusion. SpliceLeak executes a systematic two-phase privacy breach: it first structurally fingerprints the exact length of hidden private prompts, and subsequently manipulates boundary collisions to extract exact semantic content token-by-token. Extensive evaluations on production-grade frameworks (vLLM integrated with LMCache) demonstrate that SpliceLeak achieves up to a 100% extraction success rate in bounded-entropy scenarios. Driven by a deterministic +104 ms hardware latency void, the attack requires as few as 63 requests per token, piercing through realistic continuous batching noise. To resolve the inherent conflict between memory deduplication and security, we propose SpliceDefense, a bipartite mitigation framework consisting of Quantized Chunk Padding (QCP) and Constant-Time Boundary Fusion (CTBF). Our evaluations confirm that SpliceDefense effectively flattens the side-channel signal (Delta TTFT ~ 0) with negligible throughput overhead, preserving the critical benefits of global cache sharing.
- Abstract(参考訳): 現代の大規模言語モデル (LLM) は、長いコンテキストのマルチテナント推論を加速するために、レトリーバル拡張生成 (RAG) と非プリフィックスキーバリュー (KV) キャッシュの融合に依存している。
既存のKVキャッシュサイドチャネル攻撃では、厳密なリニアプレフィックスアライメントが必要であり、ユニークなユーザ固有のプライベートプレフィックスを含む実世界のRAGクエリに対して非効率的である。
本研究では,連続した「ステップウェーブ」タイミングシグネチャを不連続に漏出させ,不連続なメモリチャンクの整列と融合に使用する決定論的マイクロアーキテクチャ機構を実証する。
この物理観測を行ない、非プリフィックスKVキャッシュ融合をターゲットとした最初のエンドツーエンドのサイドチャネル攻撃であるSpliceLeakを導入する。
SpliceLeakは、まず隠れたプライベートプロンプトの正確な長さを構造的にフィンガープリンティングし、その後境界衝突を操作して正確なセマンティックコンテンツトークンを抽出する。
プロダクショングレードフレームワーク(LMCacheと統合されたvLLM)の大規模な評価は、境界エントロピーシナリオにおいて、SpliceLeakが最大100%の抽出成功率を達成することを示している。
決定論的 +104 ms のハードウェア遅延を無効にすることで、攻撃にはトークン毎の63リクエストしか必要とせず、現実的な継続的バッチ処理のノイズを突き抜ける。
メモリの重複とセキュリティの相違を解決するために,量子化チャンクパディング (QCP) と定数時間境界融合 (CTBF) からなるバイパーティイト緩和フレームワークSpliceDefenseを提案する。
評価の結果,SpliceDefenseはサイドチャネル信号(Delta TTFT ~0)を非無視のスループットオーバーヘッドで効果的にフラット化し,グローバルキャッシュ共有の重要な利点を保っていることがわかった。
関連論文リスト
- Provable Robustness against Backdoor Attacks via the Primal-Dual Perspective on Differential Privacy [51.758416625168]
ランダムな平滑化は、敵の摂動に対する堅牢性を証明するための強力なツールである。
本稿では,複雑な構成機構の認証のためのフレームワークを提案する。
複雑な脅威モデル下での堅牢性を証明するために複合メカニズムを使用するための原則的で一般的なフレームワークを提供する。
論文 参考訳(メタデータ) (2026-05-20T22:17:29Z) - OScaR: The Occam's Razor for Extreme KV Cache Quantization in LLMs and Beyond [50.440302567029654]
マルチモーダルインテリジェンスにより、Key-Valueキャッシュは効率的なデプロイメントのための主要なメモリボトルネックとなった。
本研究では、チャネルごとの量子化パラダイムの本質的な限界を再考する。
X-LLMのための高精度かつ軽量なKVキャッシュ圧縮フレームワークOScaRを提案する。
論文 参考訳(メタデータ) (2026-05-19T10:53:03Z) - Make Each Token Count: Towards Improving Long-Context Performance with KV Cache Eviction [65.710271475739]
我々は,各トークンの将来のユーティリティを統一メモリ予算の下で学習する,グローバルな保持に基づくKV消去手法を提案する。
提案手法は,フルキャッシュ推論に適合したり,超えたりしながら,KVメモリを大幅に削減することを示す。
これらの結果から,世界規模で校正されたKV消去は圧縮技術であるだけでなく,長文推論を改善するメカニズムでもあることが示唆された。
論文 参考訳(メタデータ) (2026-05-10T16:47:50Z) - TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning [60.68349524623048]
分解されたジェイルブレイクは、大きな言語モデルにとって重大な脅威となる。
我々はステートフルなデュアルエンコーダ防御フレームワークであるTwinGateを紹介する。
我々は、8600の異なる悪意のある意図にまたがる360万以上の命令の包括的なデータセットを構築した。
論文 参考訳(メタデータ) (2026-04-30T13:44:01Z) - Bit-Flip Vulnerability of Shared KV-Cache Blocks in LLM Serving Systems [0.17188280334580197]
vLLMのPrefix Cachingでは、共有KV-cacheブロックは、整合性を保護することなく単一の物理コピーとして存在する。
最悪の場合の重大さを特徴付け、サイレントな発散、選択的伝播、持続的な増幅の3つの特性を識別する。
永続的整合性に基づく対策は、スケジューリング時に単一ビットの破損を検出し、ブロックのキャッシュ寿命に依存しない1つのバッチに累積的なダメージをバウンドする。
論文 参考訳(メタデータ) (2026-04-19T04:31:12Z) - Understanding the Physics of Key-Value Cache Compression for LLMs through Attention Dynamics [22.98826013817833]
トークンレベルのルーティングの制御摂動として,KV圧縮を物理に着想を得た視点を提案する。
適度な圧縮は、内部表現をほとんど精度の低下なく劣化させ、冗長性を明らかにする。
トークンサバイバルにもかかわらず、過度なヘッドレベルのコンセンサスによってルーティングの柔軟性が崩壊する表現剛性を特定する。
論文 参考訳(メタデータ) (2026-03-02T04:16:36Z) - RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse [47.85771791033142]
本稿では,防止戦略のシームレスな統合による検出システムの説明可能性を合成するフレームワークであるRedVisorを提案する。
RedVisorは、きめ細かい推論パスを利用して同時に攻撃を検出し、モデルの安全な応答を誘導する最初のアプローチである。
実験により、RedVisorは検出精度とスループットにおいて最先端の防御性能を上回り、無視可能なユーティリティ損失を発生させることを示した。
論文 参考訳(メタデータ) (2026-02-02T08:26:51Z) - Selective KV-Cache Sharing to Mitigate Timing Side-Channels in LLM Inference [6.864810630905683]
ユーザ単位のアイソレーションなどの既存の防御は、リークをなくすが、TTFT(Time-to-first-token)で最大38.9%性能を低下させる。
プライバシーに配慮したKV-cache管理フレームワークであるSafeKVを紹介した。
評価の結果,SafeKVは時間ベースのサイドチャネル攻撃の94%~97%を軽減していることがわかった。
論文 参考訳(メタデータ) (2025-08-11T19:55:44Z) - Sparse-dLLM: Accelerating Diffusion LLMs with Dynamic Cache Eviction [72.27673320976933]
Diffusion Large Language Models (dLLMs) は推論と並列デコードにおけるブレークスルーを可能にする。
現在のキャッシュ技術は、フルレイヤ状態を保存することでデコーディングを加速するが、メモリ使用量を大幅に増加させる。
Sparse-dLLMは、動的キャッシュ消去とスパースアテンションを統合した最初のトレーニングフリーフレームワークである。
論文 参考訳(メタデータ) (2025-08-04T16:14:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。