S0106重大

LoRA 微調層替換攻擊

部署

風險描述

在使用 LoRA(Low-Rank Adaptation)等參數高效微調方法時,攻擊者替換微調層的權重檔案。由於 LoRA adapter 檔案極小(通常 <100MB),更容易被竊取或替換。一個被篡改的 adapter 可以完全改變模型的行為特性,而基礎模型本身不受影響,使偵測更加困難。

框架對照

iso 23894R2
tw principle資安與安全
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • Adapter 版本管控
  • 載入前驗證

處理步驟

  1. 為每個 LoRA adapter 建立密碼學簽章
  2. 在載入 adapter 前驗證其與預期版本的一致性
  3. 建立 adapter 版本管理系統(含變更歷史和審計日誌)
  4. adapter 載入後立即執行行為驗證測試