Het stelen van gebruikersaanwijzingen van een mengeling van experts.

Mixture-of-Experts (MoE) modellen verbeteren de efficiëntie en schaalbaarheid van dichte taalmodellen door elk token naar een klein aantal experts in elke laag te routeren. In dit artikel laten we zien hoe een tegenstander die ervoor kan zorgen dat hun vragen in dezelfde batch voorbeelden verschijnen als de vragen van een slachtoffer, Expert-Choice-Routing kan exploiteren om de volledige prompt van een slachtoffer bloot te leggen. We tonen succesvol de effectiviteit van deze aanval op een tweelaags Mixtral-model, waarbij we het gedrag van de torch.topk CUDA-implementatie voor het verwerken van gelijke waarden benutten. Onze resultaten tonen aan dat we de volledige prompt kunnen extraheren met O({VM}^2) vragen (met een woordenschatgrootte V en promptlengte M) of gemiddeld 100 vragen per token in de setting die we overwegen. Dit is de eerste aanval die architecturale zwakheden exploiteert met als doel het extraheren van gebruikersprompts, waarbij een nieuwe klasse van LLM-kwetsbaarheden wordt geïntroduceerd.