隨著生成式 AI 加持的聊天機器人與虛擬助理日益普及,成為人們詢問各種疑難雜症,甚至包括私人隱私或商業機密等問題的主要管道之一。儘管當前主流 AI 聊天機器人都會透過加密機制來確保聊天內容不致外洩,但研究人員已設計出一種利用聊天時系統所使用令牌(Token)的旁路攻擊(Side Channel Attack)手法,該手法能精確地破解 AI 聊天機器人的回應內容。
以色列本古里安大學(Ben-Gurion University)攻擊性人工智慧研究實驗室(Offensive AI Research Lab)負責人 Yisroel Mirsky 指出,如今任何可以觀察到流量的人(包括在同一有線或無線區域的惡意行動者或網際網路上的駭客)都可以在使用者毫不知情的情況下讀取來自 ChatGPT 和其他服務的私人聊天訊息。儘管 OpenAI 會透過封包加密來防止竊聽攻擊,但由於 OpenAI 所使用的加密方式存在漏洞,駭客可以輕易地破解聊天訊息。
研究人員發現前所未見的「令牌長度序列」旁路漏洞
據報導,研究人員已設計出一種攻擊手法,能利用所有主流 AI 聊天機器人(除了 Google Gemini 外)在回應使用者查詢時所使用的令牌當作旁路。這讓居中監視 AI 聊天機器人和使用者之間傳遞資料封包的攻擊者,能在所有擷取到的回應訊息中,推論出 55% 具有極高字詞正確性的特定主題。該攻擊可以在 29% 的時間內完全準確推論出回應的字詞。
所謂旁路是指透過間接或意外來源獲取系統中機密資訊的一種手段,舉凡表現手法、行為特徵、功耗、耗時,或在某一特定操作過程中產生的聲,光或電磁輻射皆可作為攻擊者監控的來源,一旦收集足夠的資訊,便可能從 CPU 中恢復加密擊鍵或加密密鑰,從 HTTPS 流量中復原瀏覽器 Cookie,或從智慧卡中復原機密。如同前述,這次研究人員最新攻擊中所使用的旁路,就存在於 AI 聊天機器人回應使用者查詢時使用的令牌中。
令牌類似於被編碼的字詞,以便於大型語言模型(LLM)理解。為了增強使用者體驗,大多數AI聊天機器人會在生成令牌後立即將它們發送出去,如此一來終端使用者就能逐字地連續收到回應內容,而不是在助手生成整個答案後很久才一次收到聊天內容。儘管傳遞中的令牌會加密,但即時逐個令牌傳輸卻曝露了一個前所未知的旁路漏洞,研究人員特別稱之為「令牌長度序列」(token-length sequence)。
運用「令牌推論攻擊」最佳化破解結果
由於每個令牌的長度幾乎直接對應到它所代表的字串長度,所以該攻擊首先會分析每個令牌的大小。接下來會分析每個令牌長度的序列,以得出所有可能的片語或句子,但其順序排列卻有數百萬種的可能性。對此,古里安大學研究人員設計了一種名為「令牌推論攻擊」(token inference attack)的手法,透過兩個經過精心訓練的 LLM 模型來運行旁路返回的原始資料,最終成功最佳化破解結果。
除了 Google Gemini 之外,所有基於聊天的 LLM 都會在生成令牌後立即發送令牌,其最主要原因在於模型很慢,供應商不希望使用者等到生成了整個訊息後才發送任何文字。就是這種即時設計為上述攻擊留下了可以發揮關鍵攻擊作用的旁路。由於令牌是逐個發送的,因此發動被動式中間人攻擊(AitM)的駭客可以不受加密限制地測量 Token 的長度。但如果像 Google Gemini 的令牌是採用大批次發送的話,那麼就無法測量個別令牌的長度。
OpenAI 和 Cloudflare 實行 padding 緩解措施,微軟即將發佈更新程式
研究人員提出了兩個緩解攻擊效果的建議。第一個是效仿 Google,停止逐個發送封包的做法。另一個是套用「填充欄位」(padding)技術,以便讓它們都具備與可能最大封包相等的固定長度。但要提醒的是,這兩種方法都有可能降低聊天機器人的使用體驗。大批次發送令牌可能會造成延遲並使資料串流不連貫。封包填充欄位將增加每個回應中發送的封包量。
不論如何,Mirsky 提醒道,除了 Google Gemini 之外,包括 OpenAI 的所有主流聊天機器人都會受到這個攻擊的影響。如今 OpenAI 和 Cloudflare 已自週二(12 日)開始實施了填充欄位的緩解措施。微軟發表聲明特別指出 AitM 攻擊的必要條件,並認為名字等具體細節不太可能被駭客預測到。該公司將透過更新程式的發佈來解決這個問題。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
