Roubo de prompts do usuário de uma Mistura de Especialistas

Os modelos de Mixture-of-Experts (MoE) melhoram a eficiência e escalabilidade dos modelos de linguagem densa ao direcionar cada token para um pequeno número de especialistas em cada camada. Neste artigo, demonstramos como um adversário que consegue organizar suas consultas para aparecer na mesma leva de exemplos que as consultas de uma vítima pode explorar a Roteamento de Escolha de Especialista para revelar completamente o prompt de uma vítima. Demonstramos com sucesso a eficácia desse ataque em um modelo Mixtral de duas camadas, explorando o comportamento de tratamento de empate da implementação CUDA torch.topk. Nossos resultados mostram que podemos extrair o prompt inteiro usando consultas O({VM}^2) (com tamanho de vocabulário V e comprimento do prompt M) ou 100 consultas em média por token no cenário que consideramos. Este é o primeiro ataque a explorar falhas arquiteturais com o propósito de extrair prompts de usuário, introduzindo uma nova classe de vulnerabilidades de LLM.