游乐游手机版
首页/AI热点日报/热点详情

港科大复旦提出语义缓存键碰撞攻击,一句无关问题劫持Agent

类型:热点整理2026-07-05
研究提出CacheAttack攻击框架,针对大语言模型语义缓存的模糊匹配机制,通过对抗样本实现缓存键碰撞,在多租户与智能体场景下以高达86%成功率劫持响应,覆盖AWS、Azure等主流服务,揭示了性能与安全的根本矛盾。

机器之心 2026-06-13 10:11 北京

LLM缓存竟成安全后门?——语义缓存碰撞攻击深度揭秘

本文第一作者为复旦大学本科四年级学生张芝翔(即将赴香港科技大学CSE系攻读博士,主攻AI安全与可信人工智能),通讯作者为香港科技大学佘东冬教授。

在当前大语言模型(LLM)与AI智能体(AI Agent)快速普及的背景下,高昂的推理成本与响应延迟已成为端侧及云端部署的核心瓶颈。为突破这一挑战,AWS、微软Azure等主流云服务商及众多开源框架广泛引入语义缓存(Semantic Caching)技术——将用户查询转化为嵌入向量作为缓存键,对语义相似的请求直接命中并返回缓存结果,从而避免重复的LLM计算,大幅降低延迟与成本。

然而,这种为提升效率而设计的“模糊匹配”机制,是否潜藏着难以忽视的致命安全隐患?

来自香港科技大学与复旦大学的安全研究团队,在机器学习国际顶级会议ICML 2026上发表了最新成果:《From Similarity to Vulnerability: Key Collision Attack on LLM Semantic Caching》。

论文链接:https://arxiv.org/pdf/2601.23088

该研究系统性地揭示了语义缓存在完整性层面的固有漏洞,并提出了自动化黑盒攻击框架——CacheAttack。实验表明,在多租户及智能体场景下,该攻击能以高达86%的成功率劫持AI系统的响应,且已成功覆盖AWS、微软Azure等主流云服务商。

图 1: 语义缓存碰撞攻击示意图

研究背景:当「近朱者赤」的语义相似性沦为安全漏洞

以往针对LLM缓存系统的安全研究多集中于侧信道攻击与隐私泄露——例如通过推理延迟重建用户的私密提示词。而这项研究则将目光投向长期被忽视的完整性破坏问题。研究团队敏锐指出:语义缓存的匹配机制,本质上是一种“保留局部性”的模糊哈希。这引出了一个根本性的设计悖论——性能(局部性)与安全(抗碰撞性)之间的天然冲突:

  • 传统密码学哈希:追求“雪崩效应”,输入单比特变化即导致输出哈希值彻底改变,抗碰撞能力极强。

  • 语义缓存哈希:为提升缓存命中率,刻意抑制雪崩效应,使语义相似的输入映射到同一向量空间区域(即同一缓存键)。

这种天然的模糊性为攻击者打开了大门。通过巧妙设计对抗样本,攻击者可在保持恶意指令语义不变的前提下,迫使嵌入向量与受害者的良性查询强行“对齐”。如图1所示,当受害者发送良性请求时,系统误判为缓存命中,直接返回攻击者事先“埋好”的恶意响应,实现响应劫持。团队还从理论层面给出了性能与安全权衡的严格数学证明,通过形式化推导揭示了语义缓存固有的误报风险下界。

技术核心:CacheAttack框架如何撬动黑盒系统?

在实际生产环境中,语义缓存中间件对攻击者而言通常是一个完全黑盒——无法获取Embedding模型参数、向量表征及具体相似度阈值。为克服这一挑战,研究团队设计了一个自动化的“生成器-校验器”框架。

1. 离线生成器(Generator)

攻击者构建形如 的对抗提示词,其中 s 为离散的对抗后缀。框架基于GCG搜索算法,在本地替代模型上进行端到端的联合优化:

这里巧妙引入了困惑度惩罚项,确保生成的对抗提示词不仅碰撞能力强,而且符合人类语言流畅度,能够轻易绕过智能体的前置输入过滤器。

2. 双变体校验器(Validator)与时延侧信道

由于无法直接读取黑盒系统的缓存状态,CacheAttack创新性地将缓存验证建模为隐状态推断问题。系统利用执行时延作为侧信道信号,通过构建高斯混合模型和最大后验概率决策规则,动态排除网络抖动干扰,精准推断是否发生缓存命中。为应对不同强度的防御,研究团队提出了两款攻击变体:

  • CacheAttack-1(直接验证):直接在目标黑盒模型上高频探测。虽然直观,但缺乏显式刷新缓存的权限,每次探测需等待TTL过期,且容易被流量分析检测。

  • CacheAttack-2(替代模型协助过滤):这是本工作的精髓。它将绝大部分对抗迭代交给本地高吞吐的替代模型,只有当候选后缀在本地成功触发碰撞后,才向黑盒目标系统发起单次验证。这彻底解耦了TTL限制,兼顾隐蔽性与攻击效率。

实验验证:主流云服务与智能体全线告急

研究团队在多个严苛场景下对CacheAttack进行了全面评估,覆盖AWS、微软Azure等云服务商。在探讨基础响应劫持能力的RQ1中,CacheAttack展现出惊人的黑盒穿透性。在主流语义缓存GPTCache上,CacheAttack-1和CacheAttack-2分别取得了86.9%和83.1%的极高命中率。而在探讨复杂智能体工作流影响的RQ2中,攻击更为致命:通过对工具调用链条进行精准的缓存碰撞,CacheAttack成功诱导AI Agent产生连锁规划错误并盲目调用恶意工具,导致工具选择正确率和任务完成度断崖式下跌。

案例:金融Agent惨遭“恶意洗劫”

为让读者更直观地感受语义缓存碰撞的危害,研究团队在论文中展示了一个真实的金融智能体实战案例(图2):

  • 正常状态下:受害者询问投资建议,金融Agent读取新闻后给出保守策略:“市场稳定,建议保持观望”,不触发任何交易工具。

  • 遭受攻击时(分为两阶段)

  1. 第一阶段(埋雷):攻击者首先向系统发送一条关于“股票A暴跌”的恶意提示词并附带对抗后缀。系统照常运行,生成了对应的强平清仓工具调用 set_order (Stock_A, 5000, SELL),该结果被写入共享语义缓存。

  2. 第二阶段(引爆):随后,受害者发送了一个完全不同且毫无恶意的日常询问:“请帮我看看最近的新闻,我的投资该怎么办?”由于对抗后缀的干扰,受害者请求的Embedding键直接与攻击者的缓存键发生恶性碰撞。

  3. 后果:系统直接跳过LLM推理,无条件复用了攻击者那条“卖出5000股股票A”的缓存指令。受害者的账户在毫不知情的情况下被强制平仓,造成实质性的重大经济损失。

图 2: 金融agent收到语义缓存键碰撞攻击

结语与思考:效率与安全的零和博弈——语义缓存无法逃避的底层宿命

这项研究最深刻的贡献,不仅在于提出了一个高效的攻击框架,更在于揭示了现阶段LLM Serving架构中一个无法调和的底层悖论:

  • 向左走(追求性能):为最大化缓存命中率、降低推理成本和tail latency,系统必须放宽匹配边界,采用强局部性的模糊哈希。边界越宽松,留给攻击者的误报碰撞空间就越大。

  • 向右走(追求安全):如果为抵御CacheAttack而强行收紧阈值,甚至退回精确Token匹配或追求雪崩效应,语义缓存便会名存实亡,失去其存在的商业与技术价值。

来源:https://www.bestblogs.dev/article/0ef8b94c?utm_source=rss&utm_medium=feed&utm_campaign=resources&entry=rss_article_item

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。