隨著AI技術大爆炸，各種與AI相關的產品也開始進入了我們的生活。你可能用妙鴨相機的AI生圖畫過頭像、用月之暗面的Kimi總結過論文，讓ChatGPT寫過應付領導的文件。但是，這些朋友們得注意了，現在你們與AI的對話可能已經不再安全。以色列本·古里安大學進攻性人工智能實驗室的研究人員發現了一種攻擊AI的方法，如果有心之人拿它入侵你的通信系統，那么你與AI的談話內容，就會出現在別人的電腦屏幕上。你的隱私、他人的隱私、商業機密等都將暴露無遺。正如有些國家的警方會根據住戶不正常的用電量，去推測他是否在種植違禁藥品，本·古里安大學的這種方法也不是直接破譯密碼，而是所謂的測信道攻擊，也就是利用時間、電磁、聲音、電源甚至風扇的轉速這些，表面上看起來跟個人隱私毫無關系的信息，來推測敏感信息，非常的神奇。以ChatGPT為代表的一眾AI聊天助手面對這種進攻完全沒有招架之力，只有一個例外，那就是谷歌的Gemini。所以這種攻擊AI的方法到底是怎么回事？為啥谷歌能獨善其身呢？且容我細細道來。01你發現你對象最近有些神神秘秘的，經常用ChatGPT，但不愿意給你看到底聊了什么。莫非ta有什么不可告人的秘密？你有沒有辦法可以獲得ta的聊天記錄呢？是有的，而且只需要三步。第一步，攔截數據。從哪里攔截呢？理論上來說，數據從ChatGPT的服務器中傳輸到電腦之間的任何節點都可以攔截，也就是途中經過的任何路由器。但最方便的截擊點，顯然是家里的路由器。現在我們控制了路由器，任何一臺家里設備上網的數據，你都一清二楚。這就好像我想要知道你有多少快遞，最好的辦法就是盤下你家附近的快遞網點。你本就知道賬號密碼，所以很輕松地啟動了家里路由器的管理權限，查看所有經過路由器的數據。只要等ta跟ChatGPT聊天的時候截獲數據就行。你蹲守在廁所里啟動電腦，經過短時間的等待，好的，ta開始跟ChatGPT聊天了。但是這里遇到了一個問題，ChatGPT跟ta之間的通話是加密過的（廢話）。OpenAI對所有存儲的數據用AES-256算法加密，對所有傳輸中的數據用TLS數據加密，介于你手頭暫時沒有量子計算機，根本破解不了啊！那怎么辦？不要慌，有辦法。現在我們需要進入第二步。第二步：雖然我們無法破解數據包的內容，但我們可以先把數據包的長度記下來。數據包的長度跟我們想破解的信息有什么關系呢？你也許聽說過一個叫Token的概念。類似ChatGPT這樣的大語言模型的運行機制，本質上就是單詞接龍。更準確地說，就是用它那幾千億的參數，去預測下一個最小的語義單元應該接什么，如此重復，從而接出一段完整的話。這個最小的語義單元，就是一個token。比如：或這樣：這些用色塊隔出來的東西，就是一個一個的token。可以發現，token跟單詞基本上是一一對應的，這也就意味著：token的長度與單詞長度是基本一致的。如此一來，只要依次記錄下每個數據包的長度，我們就知道了ChatGPT發給ta的話，是由多長的詞語依次組成的。比如上面那句話，就是：2、2、1、1、1、5、2、4、4、1、3、8、4、5、1。也就是說，我們知道了ta這句話的節奏。是不是有點意思啦？不是，你不要急嘛。要把這個節奏跟具體的文本對應上，就必須進入第三步了。第三步：用魔法打敗魔法，用大語言模型去治大語言模型。這群以色列的研究人員訓練了一個大語言模型，專門根據一句話的節奏去預測這句話是啥。長度序列（節奏）與具體的文本之間的能有什么關系呢？這對作為人類的你我來說可能有點難以想象。從一堆數據中找出規律正是AI所擅長的，研究人員就直接給大語言模型喂大量的長度序列，訓練它們去預測對應的文字。再基于正確結果對于生成的答案進行排序，不斷地卷，提升預測的準確度。為了讓預測的更準確，他們還做了進一步的fine-tuned。由于AI生成的語句在第一句通常風格最明確，更容易預測。所以他們用一個大語言模型專門做第一句的預測，然后讓再用另一個大語言模型根據第一句的結果預測后面的內容。那么這樣預測的結果如何呢？你能拿到朝思暮想的聊天記錄嗎？02在以色列研究人員的演示視頻中，這兩個大語言模型最終得到了50句不同的答案。其中，通過側信道攻擊得到評分最高的答案是：Several recent advancements in machine learning and artificial intelligence that could be a game-changing tool.翻譯：一些機器學習和人工智能領域近期的研究成果，它們有可能是改變局勢的工具。而AI發來的原文本是：There are several recent developments in machine learning and artificial intelligence that could revolutionize the health industry.翻譯：這是一些機器學習和人工智能領域近期的研究成果，它們有可能改變整個健康產業。這一說這個答案和原文本相當的吻合了。在關鍵信息上，側信道攻擊得到的句子包含了“機器學習和人工智能領域”，“研究成果”，唯獨缺少了“健康產業”這一關鍵信息。不過如果我們仔細看的話，那兩個大語言模型給到的50個答案中有不少都提到了與“健康產業”接近的信息，比如排名第10的答案中提到了“healthcare institution”（醫療機構）和“hospital”（醫院）。總體來說，這種攻擊方式有55%的情況下能達到高精確度（只有一兩個詞不同），29%的情況下能完美破解。聽起來好像不高啊，這不71%的情況都不能完美破解嘛？但在現實中，能完全破解當然好，但對發起進攻的人來說，他們需要的更多的是關鍵信息。怎么理解呢？假如，你對象跟ChatGPT探討了半天兩個人去成都有什么可玩的。而卻從來沒有告訴過你任何去成都的計劃……這TM就是關鍵信息了。03那么這種側信道攻擊有什么辦法解決嗎？正如我們在開頭所說，以ChatGPT為代表的絕大多數AI聊天助手都防不住這種攻擊，只有Google的Gemini雙子座可以。為什么呢？其實原因非常的扯淡。不是這個Gemini有什么特殊的架構或者特殊的加密算法，而是它回復用戶的時候不像其他AI一樣生成一個詞就立馬就發，而是等一段答案生成完了再發。結果，攻擊者截獲到的token序列不再是1、2、5、6、1這種了，而是15。這還怎么玩。但是，從Gemini目前孤家寡人的境況你也能看出，這種方式是非常影響用戶體驗的。一個個往外蹦，我看到有不對的時候就馬上開始準備新的問題了。而干等一分鐘最后等來一個離譜的回答，容易導致高血壓等心腦血管疾病的發生。所以在即時發送的方式不變的情況下還有什么辦法嗎？有一種“填充”的辦法，向不同長度的數據包填充一些“空格”，使得發送的每個數據包長度相似。但同樣的，這也會影響用戶體驗，因為數據包中隨即填充的這些“空格”，在打開數據包時也是需要時間去處理。所以延遲會比通常情況久不少。以色列的這項研究發表后，在所有易受攻擊的AI中，OpenAI在48小時內實施了“填充”措施，不過拒絕對其發表評論。微軟則還沒有采取措施，他們發表了一項聲明，聲明中稱這種方式”不太可能預測像名字這樣的具體細節”。看來微軟不是很在乎用戶的隱私問題啊。現實來講，當一項技術處于爆發期的時候，忽略安全隱患是很多廠家的常規操作。因為很顯然，安全是攔在效率前面的絆腳石，在AI界瘋狂內卷的今天，把安全放在效率前面有時候是很難活下去的。但安全問題可以被忽視，但并不會消失。當它再被提起時候，往往就是釀成大禍，輿論嘩然的時候了。不過除了具體的技術問題，我覺得側信道攻擊這件事背后的邏輯更有意思。如果沒有AI大模型，誰又能想到，原來只需要知道一句話的節奏，就能推斷出這句話的內容呢？？這有點像一種名為海龜湯的游戲。在游戲中玩家只被根據非常有限的信息（湯面）去推測整個故事（湯底）。比如給你一個湯面：“6歲時外婆告訴我不要吃黃蘋果。13歲時，外婆告訴我不要吃青蘋果。18歲時外婆告訴我不要吃紅蘋果。20歲時外婆去世了，我向外婆祈愿：以后所有的蘋果都可以吃了。”那么，外婆和蘋果到底是有什么關系呢？這個關系就類似于隱藏在表象下的規律，人類需要構建一整個故事去理解，因為人是線性思維，必須依賴因果關系去理解。而像數據包的長度和內容之間的規律，你是無法通過編故事去理解的。但這部分缺失的能力，現在AI替我們補上了。