和其他精良的助手一样，人工智能对你管窥蠡测。
它知道你住在哪里，在哪里事情。
它可能知道你喜好吃什么食品，这个周末打算做什么。
如果你特殊健谈，它乃至可能知道你是否在考虑离婚或考虑破产。

这便是为什么研究职员设计的一种可以通过网络读取人工智能助手加密回答的攻击令人震荡。
这些研究职员来自以色列的进攻型人工智能研究实验室（Offensive AI Research Lab），他们创造，除了Google Gemini之外，大多数利用流媒体与大型措辞模型交互的紧张人工智能助手都存在一个可利用的侧信道。
然后，他们演示了如何利用 OpenAI 的 ChatGPT-4 和微软的 Copilot 的加密网络流量。

研究职员在论文中写道：\公众我们能够准确地重修 29% 的人工智能助手的回答，并成功地从 55% 的回答中推断出主题。
\"大众

最初的攻击点是标记长度侧信道。
研究职员阐明说，在自然措辞处理中，标记是包含意义的最小文本单位。
例如，\"大众我的皮疹很痒\"大众这句话可以标记化如下：S = (k1, k2, k3, k4, k5)，个中标记为 k1 = I, k2 = have, k3 = an, k4 = itchy, k5 = rash。

然而，令牌是大型措辞模型做事处理数据传输的一个主要漏洞。
也便是说，当 LLM 以一系列令牌的形式天生和发送相应时，每个令牌都会在天生的同时从做事器发送给用户。
虽然这一过程是加密的，但数据包的大小会透露令牌的长度，从而有可能让网络上的攻击者读取对话内容。

研究职员说，从标记长度序列推断回答内容具有寻衅性，由于回答可能长达数句，从而产生数百万个语法精确的句子。
为理解决这个问题，他们：（1）利用大型措辞模型来翻译这些序列；（2）为 LLM 供应句子间高下文，以缩小搜索空间；（3）根据目标模型的写作风格对模型进行微调，从而进行已知纯文本攻击。

他们写道：\公众据我们所知，这是第一项利用天生式人工智能进行侧信道攻击的事情。
\公众

研究职员已经就他们的事情联系了至少一家安全厂商 Cloudflare。
自从接到关照后，Cloudflare 表示它已经履行了一项缓解方法，以保护自己名为 Workers AI 的推理产品的安全，并将其添加到 AI Gateway 中，以保护客户的 LLM，无论它们在哪里运行。

在论文中，研究职员还提出了一项缓解建议：在每条信息中加入随机添补，以隐蔽信息流中标记的实际长度，从而使仅根据网络数据包大小来推断信息的考试测验变得更加繁芜。