arXiv:2505.00817v1 Announce Type: cross 摘要：共享硬件资源侧信道攻击越来越威胁着保密性，尤其是在大型语言模型（LLMs）兴起的情况下。本文我们介绍了Spill The Beans，这是一种利用缓存侧信道来泄露由LLM生成的令牌的新方法。通过将攻击过程与受害模型放置在同一硬件上，我们刷新并重新加载嵌入层中的嵌入向量，其中每个令牌对应一个唯一的嵌入向量。在生成令牌时，这会导致在共享的较低级缓存上由我们的攻击可检测到的缓存命中。 一个重大挑战是大型语言模型的巨大尺寸，由于其计算密集型操作的本性，它们会迅速将嵌入向量从缓存中移除。我们通过平衡监控的令牌数量与泄露的信息量来解决这一问题。监控更多的令牌可以增加词汇库泄露的可能性，但会提高缓存命中由于驱逐而被忽略的风险；监控较少的令牌可以提高检测可靠性，但会限制词汇库覆盖范围。 通过广泛的实验，我们演示了通过缓存侧信道从大型语言模型中泄露令牌的可行性。我们的发现揭示了大型语言模型部署中的一个新的脆弱性，这表明即使是复杂模型也容易受到传统侧信道攻击的影响。我们讨论了在大型语言模型服务基础设施中的隐私和安全影响，并提出了减轻此类威胁的考虑。作为概念证明，我们考虑了两种具体的攻击场景：我们的实验表明，在单次监控下，攻击者可以恢复高达80%-90%的高熵API密钥。而对于英文文本，单次监控可以达到40%的恢复率。我们应当指出，该恢复率高度依赖于监控的令牌集，通过针对更专门的输出领域，这些比率可以得到提高。