Robando indicaciones de usuario de la mezcla de expertos

Los modelos de Mezcla de Expertos (MoE) mejoran la eficiencia y escalabilidad de los modelos de lenguaje densos al dirigir cada token a un pequeño número de expertos en cada capa. En este documento, mostramos cómo un adversario que puede organizar que sus consultas aparezcan en el mismo lote de ejemplos que las consultas de una víctima puede explotar la Elección de Expertos para revelar por completo la indicación de la víctima. Demostramos con éxito la efectividad de este ataque en un modelo Mixtral de dos capas, explotando el comportamiento de manejo de empates de la implementación CUDA torch.topk. Nuestros resultados muestran que podemos extraer la indicación completa utilizando consultas de O({VM}^2) (con tamaño de vocabulario V y longitud de indicación M) o 100 consultas en promedio por token en el escenario que consideramos. Este es el primer ataque que explota fallas arquitectónicas con el propósito de extraer indicaciones de usuario, introduciendo una nueva clase de vulnerabilidades de LLM.