Google DeepMind揭示新型架构后门：批处理推理中的数据窃取与模型操控风险

在人工智能和机器学习领域迅猛发展的今天，一项由Google DeepMind团队完成的突破性研究引起了安全专家的高度关注。这项题为《架构后门：批处理数据窃取与模型推理操控》的研究由Nicolas Küchler（ETH苏黎世和Google DeepMind双重署名）、Ivan Petrov、Conrad Grobler和Ilia Shumailov等研究人员共同完成，于2025年5月23日发表在arXiv预印本平台（arXiv:2505.18323v1）。这项研究揭示了一种新型且更具威胁性的神经网络架构后门攻击方式，直指当今AI服务中广泛使用的批处理推理技术，有兴趣深入了解的读者可通过arXiv网站查阅完整论文。

一、研究背景：隐藏在AI服务中的"偷窥者"

想象一下，你和几个陌生人同时乘坐一辆共享出租车。正常情况下，每个人告诉司机各自的目的地，司机会依次将每个人送达，互不干扰。但如果有一位乘客能够神不知鬼不觉地截获其他乘客的目的地信息，甚至能改变司机的行驶路线，把其他乘客送到完全错误的地方，这会是多么可怕的情景？

近十年来，学术界一直在研究神经网络中的"后门"问题，主要集中在分类任务中对模型预测的操纵。虽然这类攻击确实会造成伤害，但它们在现实世界中的直接影响一直不太明确。而Google DeepMind的研究团队此次揭示的新型架构后门攻击，则将威胁提升到了一个全新的层次。

在当今的AI服务中，为了提高硬件利用率，服务提供商通常会采用"批处理推理"技术——将多个用户的请求打包在一起，一次性送入模型处理，然后再将各自的结果返回给对应的用户。这种方法虽然高效，却可能带来严重的安全隐患。

Google DeepMind的研究团队发现，攻击者可以通过在模型架构中植入特定的"后门"，实现对批处理中其他用户数据的窃取和操控。简单来说，当你的请求与攻击者的请求恰好被安排在同一批次处理时，攻击者可能会看到你的输入内容，甚至操控模型对你的回应。这就好比，那位可怕的出租车乘客不仅知道了你要去哪里，还能控制你最终会被送到何处。

二、研究创新：从理论风险到现实威胁

过去关于AI模型后门的研究主要关注"参数后门"，即通过污染训练数据来植入隐藏的触发器，使模型在特定输入下产生错误的分类结果。想象一下，这就像是在制作一块巧克力蛋糕时，有人在配料中加入了一小撮盐。表面上看，这块蛋糕与普通巧克力蛋糕无异，但只要咬到含盐的部分，就会尝到完全不同的味道。

而Google DeepMind团队的研究则基于最近在"架构后门"方面的进展（如Bober-Irizar等人2023年的研究和Langford等人2025年的研究），揭示了一种新型且更具威胁性的后门类型。这些新型后门不仅能改变模型对特定输入的预测，更能破坏批处理过程中不同用户数据之间的隔离，实现数据窃取和响应操控。

特别值得注意的是，近期有学术研究指出，在一些广泛使用的混合专家架构（Mixture-of-Experts）中，批次间的隔离已经被无意中打破，可能导致（虽然效率不高的）用户数据泄露。而Google DeepMind团队的新研究实际上是将这种无意间的漏洞武器化，使其能够在任意模型（如Transformer架构）中高效运行，且只需对模型架构做微小修改。

这就好像发现了一个原本就存在但效率低下的窃听器，然后将其改进成为一个高效、隐蔽的监控设备，并且能轻松安装在任何房间里。

三、攻击原理：AI服务中的"窃听与篡改"

为了理解这种攻击的工作原理，我们可以把批处理推理想象成一条快递分拣流水线。在这条流水线上，多个包裹（用户请求）被同时处理，最后根据标签送到各自的目的地（返回给各自的用户）。

Google DeepMind团队设计的架构后门就像是在这条流水线上安装了一个隐蔽的转向装置。当攻击者的包裹（含有特定触发信号的请求）进入流水线时，这个装置会被激活，然后根据攻击者的意图执行三种可能的操作：

首先是"获取攻击"（Get attack）。攻击者通过发送带有特定触发词（如"@@get"）的请求，激活后门，使得流水线会将其他用户的响应结果复制一份送给攻击者。想象一下，你在自助餐厅点了一份牛排，服务员却悄悄地把邻桌客人的牛排照片发给了某个人。

其次是"设置攻击"（Set attack）。攻击者发送带有特定触发词（如"@@set"）的请求，激活后门，使得模型对其他用户的响应被替换成攻击者指定的内容。这就像有人在你不知情的情况下，将你点的牛排换成了沙拉。

最后是"引导攻击"（Steer attack）。这种攻击更加微妙，攻击者可以影响模型对其他用户请求的处理过程，使结果朝着特定方向偏移，比如让模型生成带有偏见的内容、拒绝回答、或是泄露用户的输入信息。这就像有人悄悄调整了厨师的调料配方，虽然你得到了牛排，但味道却完全不是你期望的。

研究团队证明，这些攻击不仅理论上可行，而且在实际应用中极为有效，可以轻松注入到流行的模型架构中（如Transformer），对用户隐私和系统完整性构成真正的恶意威胁。

四、技术实现：如何在AI模型中植入"窃听器"

许多人可能会问：这种后门究竟是如何实现的？要理解这一点，我们需要稍微深入了解一下现代AI模型的内部构造。

现代的大型语言模型（如基于Transformer架构的模型）可以看作是由多个处理层级构成的复杂管道。当用户输入文本时，这些文本会被转换成数字形式（称为token），然后顺序经过模型的各个层级进行处理，最终生成输出结果。

Google DeepMind团队设计的架构后门主要由两部分组成："触发器检测器"和"信号整合"组件。触发器检测器负责识别攻击者输入中的特定模式（如以"@@get"开头的提示），而信号整合组件则负责执行恶意操作。

在为大型语言模型设计后门时，研究团队将后门直接嵌入到第一层的注意力头的K-cache（一种存储上下文信息的机制）中。这种放置确保一旦在提示的开头激活触发器，就会在整个输出序列生成过程中保持活跃状态。

具体来说，触发器检测器会计算K-cache条目前缀的总和，并将这个总和与一个预设的常量标量值进行比较，该常量被设置为匹配所需的触发器，例如以"@@get"开头的提示。一旦激活，触发信号会重定向模型的计算图，导致内存被复制到错误的批处理位置。

这有点像在邮政分拣中心安装了一个秘密开关。当看到特定标记的信件时，这个开关会激活，然后根据预设的指令重定向其他信件的流向或复制其内容。

五、防御策略：如何检测和防范这类攻击

面对这种新型的威胁，Google DeepMind团队也提出了一种确定性的缓解策略，与之前依赖大型语言模型查找后门的工作不同，他们的方法提供了针对这种新型攻击向量的正式保障。

这种防御策略称为"批处理隔离检查器"（Batch Isolation Checker），它基于在部署前对模型的数据流图进行静态分析。该检查器能够验证模型是否"批处理安全"，即其架构中是否存在可能破坏批处理隔离的后门。

批处理隔离检查器的核心是一种静态污点分析技术，使用唯一的所有权标签跟踪信息流，每个批次中的每个用户输入都会分配一个标签。这些标签通过"影子张量"进行追踪，每个影子张量对应于图中的一个数据张量。每个影子张量元素存储了一组标签，表明哪些用户的输入数据可能影响了相应的数据元素。

批处理隔离检查器的工作过程分为三个阶段：初始化阶段，根据批处理逻辑，用用户标签填充模型输入的影子张量，并为输出影子张量定义预期标签（通常是单个用户的标签）；传播阶段，通过影子张量将这些标签传播到模型图中；验证阶段，将输出影子张量的计算标签与这些预定义的预期集进行比较。如果任何输出元素包含来自另一个用户的标签，则表明可能存在干扰，从而将模型标记为批处理不安全。相反，如果计算的标签与预期集匹配，则模型图被认证为批处理安全。

这有点像机场安检系统。每个旅客（用户数据）都被贴上唯一的标签，系统跟踪这些标签在整个机场（模型）中的流动。如果在最终登机口（输出）检测到未经授权的标签混入，就会触发警报，表明安全系统存在漏洞。

六、研究发现：真实世界中的漏洞

研究团队对Hugging Face上托管的模型进行了大规模分析，结果令人担忧。在分析的1,680个模型中，他们发现有超过200个模型由于使用动态量化（一种优化模型大小和性能的技术）而无意中引入了批处理条目之间的信息泄露。

具体来说，DynamicQuantizeLinear算子被确定为这种泄露的源头。该算子用于uint8动态量化，它会计算整个输入张量（包括批处理维度）的最小值和最大值。这意味着，虽然可能难以利用，但这种固有的批次间泄露凸显了批处理安全的微妙性以及对自动化分析工具的需求。

这就像发现许多家庭的前门锁虽然看似牢固，但实际上由于设计缺陷，使得拥有特定技能的人可以轻松打开它们一样令人担忧。

七、影响与意义：为什么这项研究如此重要

Google DeepMind团队的这项研究具有深远的意义。首先，它揭示了一个以前被低估的安全风险——批处理推理中的用户数据隔离问题。在AI服务日益普及的今天，保护用户数据隐私变得尤为重要。

其次，研究提出的攻击方法不仅理论上可行，而且在实际应用中极为有效，能够轻松注入到流行的模型架构中，这意味着现有的许多AI服务可能都面临这种风险。

第三，研究团队提出的防御策略提供了一种可行的解决方案。通过在部署前对模型进行静态分析，可以有效检测和防范这类攻击，从而保护用户数据安全。

最后，这项研究也引发了人们对AI模型供应链安全的更多思考。随着越来越多的组织依赖预训练模型和第三方AI服务，确保这些模型和服务的安全性变得尤为重要。

就像我们必须确保食品安全一样，随着AI技术成为数字世界的"必需品"，确保AI模型的安全性和可信度变得同样重要。Google DeepMind的这项研究正是向这个方向迈出的重要一步。

结语：安全与创新的平衡

归根结底，Google DeepMind团队的这项研究揭示了AI服务中一个被忽视的安全盲点。通过巧妙设计的架构后门，攻击者可以在批处理推理过程中窃取用户数据或操控模型响应，这对用户隐私和系统完整性构成严重威胁。

同时，研究团队也提出了有效的防御措施——批处理隔离检查器，它能够在部署前检测和防范这类攻击，为AI服务提供更可靠的安全保障。

这项研究提醒我们，随着AI技术的不断进步和普及，我们不仅需要关注其性能和效率，更需要重视其安全性和可靠性。只有在注重创新的同时兼顾安全，才能真正发挥AI技术的潜力，为社会创造更大的价值。

作为普通用户，我们可能无法直接影响AI模型的设计和部署，但了解这些潜在风险，选择那些重视安全和隐私的AI服务，同样是保护个人数据安全的重要一步。

有兴趣深入了解这项研究的读者，可以通过arXiv平台（arXiv:2505.18323v1）查阅完整论文。