#news Исследователи представили занятную атаку по сторонним каналам по LLM’кам. Она позволяет анализировать перехваченный трафик с токенами и определять, на какие темы юзер общается с моделью.
В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее шли 10 тысяч диалогов, из которых только один был целевой — ни одного ложноположительного и до 50% точности определения. Условное трёхбуквенное агентство, слушающее трафик от чатботов, вполне может отслеживать интересные ему темы. Всякое противозаконное и диссидентское, например. Часть разработчиков, включая OpenAI, уязвимость закрыли, другие молчат. Между тем на Github тулкит под атаку. Так что любознательному исследователю есть, чем заняться на досуге.
