近期美国加州大学伯克利分校安全研究团队披露新型AI侧信道攻击技术

网络安全领域又曝出了一则令人警醒的消息。一支来自加州大学伯克利分校的研究团队，最近披露了一种全新的AI侧信道攻击技术。它最棘手的地方在于，攻击者既不需要系统访问权限，也用不着模型调用接口，仅仅通过采集和分析大模型在推理阶段的功耗与电磁辐射特征，就能把模型最核心的权重数据给还原出来，而且最高准确率竟然能达到99.2%。这意味着，当前市面上主流的商用大模型，比如OpenAI的GPT系列、谷歌的Gemini，都存在被这种“隔空取物”式攻击的风险。

低成本、高精度的重量级发现

这项研究的论文，已经入选了2024年IEEE国际安全与隐私研讨会的重磅成果名录，其分量可见一斑。更让人意外的是攻击的门槛之低。在对照实验中，研究团队只用了一台售价不到1000美元的便携式辐射传感器，在距离运行开源Llama 2 7B模型的服务器3米范围内，仅仅采集了2小时的运行时数据，就成功还原出高达92%的模型核心权重参数。这无疑给整个行业敲响了一记警钟。

绕开所有“软”防护的“硬”攻击

传统的AI模型安全防护体系，几乎都围绕着软件层来构建：从接口调用限流、访问权限管控，到代码层面的防逆向工程，核心逻辑都是阻止未授权用户“接触”到模型数据。但这次曝光的侧信道攻击，彻底绕开了所有这些软件层面的防护。它的逻辑很直接：捕捉大模型推理时，不同参数运算产生的、那些几乎无法被软件感知的细微功耗和电磁辐射差异，然后用提前训练好的特征匹配模型，反向推导出原始权重。

“无接触”和“无权限要求”，恰恰是这项攻击最具有威胁性的特征。换句话说，哪怕是一个完全断网、不对外暴露任何接口的私有化部署大模型，只要它的服务器还在运行，理论上就有被窃取的可能。这条攻击路径，在过去完全处于行业安全防护的盲区。

主流模型无一幸免，私有化部署亦非净土

研究团队的测试结果给出了更明确的结论：目前所有基于Transformer架构的主流大语言模型，包括OpenAI的GPT-4o、Google的Gemini Advanced、DeepSeek V3等等，都面临这一技术的威胁。即便是参数规模超过千亿的闭源商用大模型，在无电磁屏蔽的环境下，攻击还原的准确率也能超过87%。

这对于金融、政务这类对数据安全要求极高的领域，影响尤为严重。许多机构为了追求绝对安全而选择私有化部署，却往往完全忽略了物理层的防护。事实上，早有未公开的案例在先：某头部云服务商的内测环境中，就出现过邻位租户通过分析功耗侧信道，成功窃取部署在同一台物理服务器上大模型参数的情况。

防护方案已在路上，但物理隔离仍是基础

据了解，研究团队早在2024年6月就已向全球排名前十的大模型厂商提交了漏洞预警。目前，相应的防护方案研发已经进入落地阶段。OpenAI和谷歌等巨头，已经在最新的推理优化框架中加入了“随机功耗混淆模块”，其原理是在模型推理过程中插入无用的运算单元，从而打乱功耗和电磁辐射的特征规律，据说能将攻击准确率压低到10%以下。

与此同时，国内多家AI服务器厂商也在同步研发带有电磁屏蔽功能的专用大模型机柜，预计2025年第一季度就能量产上市。不过，业内专家也给出了更务实的短期建议：对于已经部署了私有化大模型的机构，当务之急是立即加强机房的物理准入管控，严格限制无关人员（尤其是携带电子设备的人员）靠近服务器集群，从物理空间上最大化降低被攻击的风险。毕竟，在更完善的硬件防护方案普及之前，物理隔离依然是最可靠的那道防线。