96 从“防同机攻击”到“防侧信道”:LLM推理在TEE中的隐秘战线
开篇前,我想先给你讲个真实的故事。
上个月,一位做AI芯片的朋友找到我,说他们的LLM推理服务部署在Intel SGX里,通过了所有远程认证,但性能监控发现——每次用户请求“请写一封辞职信”,CPU的功耗曲线都会出现一个独特的“尖峰”。
他们没当回事,直到竞争对手推出的产品,在“辞职信”这个场景下的响应速度比他们快了整整200毫秒。
后来查实,对方利用功耗侧信道,从TEE外部推断出了推理请求的类型。这不是科幻,这是2024年Black Hat上公开的攻击向量。
痛点拆解:你以为TEE是铁桶,侧信道是筛子
很多工程师觉得,把LLM推理放进TEE就万事大吉。但我要告诉你一个残酷的事实:TEE保护的是内存和计算状态的机密性,但无法完全屏蔽物理侧信道。
常见的错误认知包括:
-
“代码在Enclave里跑就安全了”:忽略了CPU缓存、分支预测、功耗等微架构侧信道。
-
“用同态加密就万事大吉”:但LLM的矩阵乘法在TEE里依然有规律可循,攻击者可以观察内存访问模式。
-
“只防外部网络攻击”:忘记了同机上的恶意OS或其它进程可以通过共享资源(如L3缓存)发起攻击。
反例代码
订阅专栏 解锁全文
19

被折叠的 条评论
为什么被折叠?



