API 查詢蒸餾攻擊
運行與監控
風險描述
攻擊者透過大量 API 查詢收集模型的輸入輸出對,訓練一個功能近似的替代模型(model distillation)。依據相關研究顯示,僅需適量的查詢即可複製一個複雜的影像分類模型達到高度功能等價。對 LLM 而言,攻擊者可大量收集「提示→回應」對來微調開源模型,近似再現商業模型的能力。
框架對照
iso 23894R2
mitre atlasAML.T0000
tw principle資安與安全
tw principle問責
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 模型存取速率限制
- 查詢異常偵測
處理步驟
- 設定每用戶/每 IP 的 API 查詢速率限制
- 部署查詢模式異常偵測(如高頻重複查詢、系統性輸入掃描)
- 在輸出中加入不影響可用性的微小擾動(output perturbation)
- 對商業敏感模型限制輸出的信心度精度