Rubare gli input degli utenti da una miscela di esperti

I modelli Mixture-of-Experts (MoE) migliorano l'efficienza e la scalabilità dei modelli linguistici densi instradando ciascun token a un piccolo numero di esperti in ciascuno strato. In questo articolo, mostriamo come un avversario che può organizzare affinché le proprie richieste appaiano nello stesso batch di esempi delle richieste di una vittima possa sfruttare il Routing della Scelta dell'Esperto per rivelare completamente la richiesta di una vittima. Dimostriamo con successo l'efficacia di questo attacco su un modello Mixtral a due strati, sfruttando il comportamento di gestione delle corrispondenze dell'implementazione CUDA di torch.topk. I nostri risultati mostrano che possiamo estrarre l'intera richiesta utilizzando O({VM}^2) richieste (con dimensione del vocabolario V e lunghezza della richiesta M) o 100 richieste in media per token nell'ambiente che consideriamo. Questo è il primo attacco a sfruttare difetti architetturali allo scopo di estrarre le richieste degli utenti, introducendo una nuova classe di vulnerabilità dei LLM.