LLM大模型安全（3）- 模型DOS攻击

本篇为模型DOS攻击，其实与普通的应用DOS攻击一样，更偏向于应用层，而非模型本身

OWSAP Top 10分类

OWASP Top 10 大型语言模型应用程序项目旨在让开发人员、设计人员、架构师、经理和组织了解部署和管理大型语言模型 (LLM) 时的潜在安全风险。具体Top 10风险如下：

标题	描述
LLM01：提示词注射	这会通过巧妙的输入操纵大型语言模型 (LLM)，从而导致 LLM 执行意外操作。直接注入会覆盖系统提示，而间接注入则会操纵来自外部源的输入。
LLM02：不安全的输出处理	当 LLM 输出未经审查而被接受时，就会出现此漏洞，从而暴露后端系统。滥用可能会导致 XSS、CSRF、SSRF、权限升级或远程代码执行等严重后果。
LLM03：训练数据中毒	当 LLM 培训数据被篡改，引入损害安全性、有效性或道德行为的漏洞或偏见时，就会发生这种情况。来源包括 Common Crawl、WebText、OpenWebText 和书籍。
LLM04：模型DOS攻击	攻击者对 LLM 进行资源密集型操作，导致服务降级或成本高昂。由于LLM的资源密集型性质和用户输入的不可预测性，该漏洞被放大。
LLM05：供应链漏洞	LLM 应用程序生命周期可能会受到易受攻击的组件或服务的影响，从而导致安全攻击。使用第三方数据集、预训练模型和插件可能会增加漏洞。
LLM06：敏感信息披露	LLM可能会无意中在其回复中泄露机密数据，从而导致未经授权的数据访问、隐私侵犯和安全漏洞。实施数据清理和严格的用户策略来缓解这种情况至关重要。
LLM07：不安全的插件设计	LLM 插件可能具有不安全的输入和不足的访问控制。缺乏应用程序控制使它们更容易被利用，并可能导致远程代码执行等后果。
LLM08：过度代理	基于LLM的系统可能会采取导致意想不到的后果的行动。该问题源于授予基于 LLM 的系统过多的功能、权限或自主权。
LLM09：过度依赖	过度依赖LLM而不受监督的系统或人员可能会因LLM生成的不正确或不适当的内容而面临错误信息、沟通不畅、法律问题和安全漏洞。
LLM10：模型盗窃	这涉及对专有LLM模型的未经授权的访问、复制或泄露。影响包括经济损失、竞争优势受损以及敏感信息的潜在访问。

LLM04：模型DOS攻击

描述：

攻击者以消耗异常大量资源的方法与LLM互动，这导致他们和其他用户的服务质量下降，并可能产生高昂的资源成本。此外，一个新出现的主要安全问题是攻击者干扰或操纵法学硕士上下文窗口的可能性。由于在各种应用程序中越来越多地使用LLM，其密集的资源利用，用户输入的不可预测性，以及开发人员普遍没有意识到这一漏洞，这个问题变得越来越严重。在LLM中，上下文窗口表示模型可以管理的最大文本长度，涵盖输入和输出。这是法学硕士的一个关键特征，因为它决定了模型可以理解的语言模式的复杂性以及它在任何给定时间可以处理的文本的大小。上下文窗口的大小由模型的架构定义，并且可以在模型之间有所不同。

          

脆弱性的常见例子：

1通过队列中大量生成任务（例如使用LangChain或AutoGPT）提出导致循环资源使用的查询。

1连续输入溢出：攻击者向LLM发送超出其上下文窗口的输入流，导致模型消耗过多的计算资源。

1发送异常耗费资源的查询，也许是因为它们使用不寻常的正字法或序列。

1递归上下文扩展：攻击者构建触发递归上下文扩展的输入，迫使LLM反复扩展和处理上下文窗口。

1重复的长输入：攻击者反复向LLM发送长输入，每个输入都超过了上下文窗口。

1可变长度输入泛滥：攻击者用大量可变长度输入淹没LLM，其中每个输入都经过精心制作，仅达到上下文窗口的极限。该技术旨在利用处理可变长度输入的任何低效率，给法学硕士带来压力，并可能导致其变得无响应。

          

          

攻击场景示例：

1攻击者反复向托管模型发送多个请求，这些请求对处理来说既困难又昂贵，导致其他用户的服务更差，并增加主机的资源费用。

1攻击者利用LLM的递归机制来反复触发上下文扩展。通过制作利用LLM递归行为的输入，攻击者迫使模型反复扩展和处理上下文窗口，消耗大量的计算资源。这种攻击使系统紧张，并可能导致DoS状况，使LLM无响应或导致其崩溃。    

1当LLM驱动的工具正在收集信息以响应良性查询时，会遇到网页上的一段文本。这导致该工具提出更多的网页请求，导致大量资源消耗。

1攻击者向LLM发送一系列顺序输入，每个输入设计在上下文窗口的限制以下。通过反复提交这些输入，攻击者旨在耗尽可用的上下文窗口容量。随着LLM努力在其上下文窗口内处理每个输入，系统资源变得紧张，可能导致性能下降或完全拒绝服务。

1攻击者不断用超出其上下文窗口的输入轰炸LM。攻击者可能会使用自动脚本或工具发送大量输入，使法学硕士的处理能力不堪重负。因此，法学硕士消耗了过多的计算资源，导致系统大幅放缓或完全无响应。

1攻击者向LLM注入大量可变长度的输入，这些输入经过精心制作，以接近或达到上下文窗口的极限。通过用不同长度的输入压倒LLM，攻击者旨在利用处理可变长度输入的任何低效率。这种投入的大量给LM的资源带来了过度负荷，可能导致性能下降，并阻碍系统响应合法请求的能力。

          

如何预防：

• 实施输入验证和清理，以确保用户输入遵守定义的限制，并过滤掉任何恶意内容。

• 强制API速率限制，以限制个人用户或IP地址在特定时间范围内可以提出的请求数量。

• 将每个请求或步骤的资源使用上限，以便涉及复杂部分的请求执行得更慢。

• 限制系统中对LLM响应的队列操作数量和总操作数量。

• 根据LLM的上下文窗口设置严格的输入限制，以防止过载和资源枯竭。

• 持续监控LLM的资源利用率，以识别可能表明DoS攻击的异常峰值或模式。

• 提高开发人员对LLM中潜在DoS漏洞的认识，并为安全实施LLM提供指导方针。    

原文始发于微信公众号（暴暴的皮卡丘）：LLM大模型安全（3）- 模型DOS攻击