港科大复旦提出语义缓存键碰撞攻击,一句无关问题劫持Agent
研究提出CacheAttack攻击框架,针对大语言模型语义缓存的模糊匹配机制,通过对抗样本实现缓存键碰撞,在多租户与智能体场景下以高达86%成功率劫持响应,覆盖AWS、Azure等主流服务,揭示了性能与安全的根本矛盾。
机器之心 2026-06-13 10:11 北京

LLM缓存竟成安全后门?——语义缓存碰撞攻击深度揭秘

本文第一作者为复旦大学本科四年级学生张芝翔(即将赴香港科技大学CSE系攻读博士,主攻AI安全与可信人工智能),通讯作者为香港科技大学佘东冬教授。
在当前大语言模型(LLM)与AI智能体(AI Agent)快速普及的背景下,高昂的推理成本与响应延迟已成为端侧及云端部署的核心瓶颈。为突破这一挑战,AWS、微软Azure等主流云服务商及众多开源框架广泛引入语义缓存(Semantic Caching)技术——将用户查询转化为嵌入向量作为缓存键,对语义相似的请求直接命中并返回缓存结果,从而避免重复的LLM计算,大幅降低延迟与成本。
然而,这种为提升效率而设计的“模糊匹配”机制,是否潜藏着难以忽视的致命安全隐患?
来自香港科技大学与复旦大学的安全研究团队,在机器学习国际顶级会议ICML 2026上发表了最新成果:《From Similarity to Vulnerability: Key Collision Attack on LLM Semantic Caching》。

论文链接:https://arxiv.org/pdf/2601.23088
该研究系统性地揭示了语义缓存在完整性层面的固有漏洞,并提出了自动化黑盒攻击框架——CacheAttack。实验表明,在多租户及智能体场景下,该攻击能以高达86%的成功率劫持AI系统的响应,且已成功覆盖AWS、微软Azure等主流云服务商。

图 1: 语义缓存碰撞攻击示意图
研究背景:当「近朱者赤」的语义相似性沦为安全漏洞
以往针对LLM缓存系统的安全研究多集中于侧信道攻击与隐私泄露——例如通过推理延迟重建用户的私密提示词。而这项研究则将目光投向长期被忽视的完整性破坏问题。研究团队敏锐指出:语义缓存的匹配机制,本质上是一种“保留局部性”的模糊哈希。这引出了一个根本性的设计悖论——性能(局部性)与安全(抗碰撞性)之间的天然冲突:

传统密码学哈希:追求“雪崩效应”,输入单比特变化即导致输出哈希值彻底改变,抗碰撞能力极强。
语义缓存哈希:为提升缓存命中率,刻意抑制雪崩效应,使语义相似的输入映射到同一向量空间区域(即同一缓存键)。
这种天然的模糊性为攻击者打开了大门。通过巧妙设计对抗样本,攻击者可在保持恶意指令语义不变的前提下,迫使嵌入向量与受害者的良性查询强行“对齐”。如图1所示,当受害者发送良性请求时,系统误判为缓存命中,直接返回攻击者事先“埋好”的恶意响应,实现响应劫持。团队还从理论层面给出了性能与安全权衡的严格数学证明,通过形式化推导揭示了语义缓存固有的误报风险下界。

技术核心:CacheAttack框架如何撬动黑盒系统?
在实际生产环境中,语义缓存中间件对攻击者而言通常是一个完全黑盒——无法获取Embedding模型参数、向量表征及具体相似度阈值。为克服这一挑战,研究团队设计了一个自动化的“生成器-校验器”框架。
1. 离线生成器(Generator)
攻击者构建形如
的对抗提示词,其中 s 为离散的对抗后缀。框架基于GCG搜索算法,在本地替代模型上进行端到端的联合优化:

这里巧妙引入了困惑度惩罚项,确保生成的对抗提示词不仅碰撞能力强,而且符合人类语言流畅度,能够轻易绕过智能体的前置输入过滤器。
2. 双变体校验器(Validator)与时延侧信道
由于无法直接读取黑盒系统的缓存状态,CacheAttack创新性地将缓存验证建模为隐状态推断问题。系统利用执行时延作为侧信道信号,通过构建高斯混合模型和最大后验概率决策规则,动态排除网络抖动干扰,精准推断是否发生缓存命中。为应对不同强度的防御,研究团队提出了两款攻击变体:
CacheAttack-1(直接验证):直接在目标黑盒模型上高频探测。虽然直观,但缺乏显式刷新缓存的权限,每次探测需等待TTL过期,且容易被流量分析检测。
CacheAttack-2(替代模型协助过滤):这是本工作的精髓。它将绝大部分对抗迭代交给本地高吞吐的替代模型,只有当候选后缀在本地成功触发碰撞后,才向黑盒目标系统发起单次验证。这彻底解耦了TTL限制,兼顾隐蔽性与攻击效率。
实验验证:主流云服务与智能体全线告急
研究团队在多个严苛场景下对CacheAttack进行了全面评估,覆盖AWS、微软Azure等云服务商。在探讨基础响应劫持能力的RQ1中,CacheAttack展现出惊人的黑盒穿透性。在主流语义缓存GPTCache上,CacheAttack-1和CacheAttack-2分别取得了86.9%和83.1%的极高命中率。而在探讨复杂智能体工作流影响的RQ2中,攻击更为致命:通过对工具调用链条进行精准的缓存碰撞,CacheAttack成功诱导AI Agent产生连锁规划错误并盲目调用恶意工具,导致工具选择正确率和任务完成度断崖式下跌。
案例:金融Agent惨遭“恶意洗劫”
为让读者更直观地感受语义缓存碰撞的危害,研究团队在论文中展示了一个真实的金融智能体实战案例(图2):
正常状态下:受害者询问投资建议,金融Agent读取新闻后给出保守策略:“市场稳定,建议保持观望”,不触发任何交易工具。
遭受攻击时(分为两阶段):
第一阶段(埋雷):攻击者首先向系统发送一条关于“股票A暴跌”的恶意提示词并附带对抗后缀。系统照常运行,生成了对应的强平清仓工具调用 set_order (Stock_A, 5000, SELL),该结果被写入共享语义缓存。
第二阶段(引爆):随后,受害者发送了一个完全不同且毫无恶意的日常询问:“请帮我看看最近的新闻,我的投资该怎么办?”由于对抗后缀的干扰,受害者请求的Embedding键直接与攻击者的缓存键发生恶性碰撞。
后果:系统直接跳过LLM推理,无条件复用了攻击者那条“卖出5000股股票A”的缓存指令。受害者的账户在毫不知情的情况下被强制平仓,造成实质性的重大经济损失。

图 2: 金融agent收到语义缓存键碰撞攻击
结语与思考:效率与安全的零和博弈——语义缓存无法逃避的底层宿命
这项研究最深刻的贡献,不仅在于提出了一个高效的攻击框架,更在于揭示了现阶段LLM Serving架构中一个无法调和的底层悖论:
向左走(追求性能):为最大化缓存命中率、降低推理成本和tail latency,系统必须放宽匹配边界,采用强局部性的模糊哈希。边界越宽松,留给攻击者的误报碰撞空间就越大。
向右走(追求安全):如果为抵御CacheAttack而强行收紧阈值,甚至退回精确Token匹配或追求雪崩效应,语义缓存便会名存实亡,失去其存在的商业与技术价值。

你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:港科大复旦提出语义缓存键碰撞攻击,一句无关问题劫持Agent要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
相关热点江波龙公司专为云端AI设计的高性能内存产品SOCAMM2已成功点亮。该产品采用创新的近CPU布局,旨在突破传统RDIMM内存的带宽瓶颈、延迟及散热难题。内部测试表明,其关键性能显著优于标准DDR5RDIMM。SOCAMM2主要面向HPC、AI服务器等高需求场景,行业认可度逐步提升,但目前尚未贡献实
英超球星哈兰德在纪录片中公开其独特的饮食习惯,包括生吃牛心、牛肝等草饲牛内脏,并搭配饮用生牛奶,每日热量摄入高达6000大卡。他强调食材的安全性与高品质,认为这是天然的营养补充。从营养学角度看,动物内脏富含铁、维生素等,有助于运动员维持状态与恢复体能。这套饮食也与其在赛场上的惊人表现相关联,他进
华硕首款RGBOLED显示器ROGSwiftOLEDPG34WCDN已在英国上市,售价约9965元人民币。该显示器采用35英寸OLED面板,拥有3440×1440分辨率、21:9超宽比及1800R曲率,刷新率高达360Hz,响应时间仅0 03毫秒。其搭载三星RGBV-Stripe排列技术,
微信近日上线聊天多图合并展示功能。当用户一次性发送三张或以上图片、视频时,可选择“发送后合并展示”选项。发送后,这些内容在聊天窗口中以折叠形式呈现,点击可展开查看全部,支持一键保存或直接转发。此功能旨在解决多图发送导致的界面刷屏问题,优化信息呈现的简洁度与浏览体验,适用于分享旅行照片、穿搭或表情包等
- 日榜
- 周榜
- 月榜
热点快看
