Entwendung von Benutzeranfragen aus einem Expertengemisch

Mixture-of-Experts (MoE) Modelle verbessern die Effizienz und Skalierbarkeit von dichten Sprachmodellen, indem sie jedes Token in jeder Schicht einer kleinen Anzahl von Experten zuweisen. In diesem Paper zeigen wir, wie ein Angreifer, der seine Anfragen so arrangieren kann, dass sie im selben Batch von Beispielen wie die Anfragen eines Opfers erscheinen, Experten-Auswahl-Routing ausnutzen kann, um das gesamte Anfrage des Opfers vollständig offenzulegen. Wir demonstrieren erfolgreich die Wirksamkeit dieses Angriffs auf ein Zwei-Schicht Mixtral-Modell, indem wir das Verhalten der torch.topk CUDA-Implementierung bei der Behandlung von Gleichständen ausnutzen. Unsere Ergebnisse zeigen, dass wir die gesamte Anfrage mithilfe von O({VM}^2) Anfragen extrahieren können (mit einer Vokabellänge V und einer Anfrage Länge M) oder durchschnittlich 100 Anfragen pro Token in der betrachteten Konfiguration benötigen. Dies ist der erste Angriff, der architektonische Schwachstellen ausnutzt, um Benutzeranfragen zu extrahieren, und führt eine neue Klasse von LLM-Schwachstellen ein.