会员服务
攻击 · 系统 · 输出 · 算法 · 大语言模型 ·
2 月 8 日
Rethinking Latency Denial-of-Service: Attacking the LLM Serving Framework, Not the Model
翻译:反思延迟拒绝服务:攻击LLM服务框架,而非模型
Tianyi Wang,Huawei Fan,Yuanchao Shu,Peng Cheng,Cong Wang
Tianyi Wang,Huawei Fan,Yuanchao Shu,Peng Cheng,Cong Wang

Large Language Models face an emerging and critical threat known as latency attacks. Because LLM inference is inherently expensive, even modest slowdowns can translate into substantial operating costs and severe availability risks. Recently, a growing body of research has focused on algorithmic complexity attacks by crafting inputs to trigger worst-case output lengths. However, we report a counter-intuitive finding that these algorithmic latency attacks are largely ineffective against modern LLM serving systems. We reveal that system-level optimization such as continuous batching provides a logical isolation to mitigate contagious latency impact on co-located users. To this end, in this paper, we shift the focus from the algorithm to the system layer, and introduce a new Fill and Squeeze attack strategy targeting the state transition of the scheduler. "Fill" first exhausts the global KV cache to induce Head-of-Line blocking, while "Squeeze" forces the system into repetitive preemption. By manipulating output lengths using methods from simple plain-text prompts to more complex prompt engineering, and leveraging side-channel probing of memory status, we demonstrate that the attack can be orchestrated in a black-box setting with much less cost. Extensive evaluations indicate by up to 20-280x average slowdown on Time to First Token and 1.5-4x average slowdown on Time Per Output Token compared to existing attacks with 30-40% lower attack cost.


翻译:大型语言模型面临一种新兴且严峻的威胁,称为延迟攻击。由于LLM推理本质上是计算密集型的,即使轻微的减速也可能转化为巨大的运营成本和严重的可用性风险。近期,越来越多的研究聚焦于通过构造输入来触发最坏情况输出长度的算法复杂度攻击。然而,我们报告了一个反直觉的发现:这些算法延迟攻击对现代LLM服务系统基本无效。我们揭示,诸如连续批处理等系统级优化提供了逻辑隔离,能够缓解延迟对共置用户的传染性影响。为此,本文我们将焦点从算法层转向系统层,并引入一种针对调度器状态转换的新型“填充与挤压”攻击策略。“填充”首先耗尽全局KV缓存以诱发队头阻塞,而“挤压”则迫使系统陷入重复的抢占状态。通过使用从简单纯文本提示到更复杂提示工程的方法操控输出长度,并利用内存状态的侧信道探测,我们证明该攻击可以在黑盒环境中以低得多的成本实施。广泛的评估表明,与现有攻击相比,该攻击在首词生成时间上可实现高达20-280倍的平均减速,在每输出词时间上可实现1.5-4倍的平均减速,同时攻击成本降低30-40%。
0
下载
关闭预览

相关内容

大型语言模型的规模效应局限
大型语言模型的规模效应局限
专知会员服务
14+阅读 · 2025年11月18日
《缓解大语言模型(LLMs)幻觉:面向应用的检索增强生成(RAG)、推理与智能体系统综述》
《缓解大语言模型(LLMs)幻觉:面向应用的检索增强生成(RAG)、推理与智能体系统综述》
专知会员服务
23+阅读 · 2025年10月29日
高效大语言模型推理服务综述
高效大语言模型推理服务综述
专知会员服务
18+阅读 · 2025年4月30日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ACL2024教程】大型语言模型对抗攻击的脆弱性,200多页ppt
【ACL2024教程】大型语言模型对抗攻击的脆弱性,200多页ppt
专知会员服务
34+阅读 · 2024年8月14日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何重塑推荐?中科大等最新《面向推荐的大型语言模型》综述,全面阐述LLM4Rec进展
大模型如何重塑推荐?中科大等最新《面向推荐的大型语言模型》综述,全面阐述LLM4Rec进展
专知会员服务
93+阅读 · 2023年6月1日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
用模型不确定性理解模型
用模型不确定性理解模型
论智
11+阅读 · 2018年9月5日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
干货|从LSTM到Seq2Seq
干货|从LSTM到Seq2Seq
全球人工智能
15+阅读 · 2018年1月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
近似计算中基于概率图模型的软错误量化方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算平台中大规模交互式服务长尾延迟消减关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据中心延迟敏感型应用尾端响应时延服务质量保障方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
延迟容忍网络中自适应社会感知路由研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
延迟Hamilton系统保结构算法研究及其应用
国家自然科学基金
0+阅读 · 2014年12月31日
随机延迟微分方程数值解的延迟依赖稳定性及自适应技术
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
SECA: Semantically Equivalent and Coherent Attacks for Eliciting LLM Hallucinations
Arxiv
0+阅读 · 2月15日
Semantic Caching for Low-Cost LLM Serving: From Offline Learning to Online Adaptation
Arxiv
0+阅读 · 2月13日
Stop Tracking Me! Proactive Defense Against Attribute Inference Attack in LLMs
Arxiv
0+阅读 · 2月12日
LLM-CoOpt: A Co-Design and Optimization Framework for Efficient LLM Inference on Heterogeneous Platforms
Arxiv
0+阅读 · 2月10日
Probe and Skip: Self-Predictive Token Skipping for Efficient Long-Context LLM Inference
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
Rethinking LLM-as-a-Judge: Representation-as-a-Judge with Small Language Models via Semantic Capacity Asymmetry
Arxiv
0+阅读 · 1月30日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
系统
输出
算法
大语言模型
相关VIP内容
大型语言模型的规模效应局限
大型语言模型的规模效应局限
专知会员服务
14+阅读 · 2025年11月18日
《缓解大语言模型(LLMs)幻觉:面向应用的检索增强生成(RAG)、推理与智能体系统综述》
《缓解大语言模型(LLMs)幻觉:面向应用的检索增强生成(RAG)、推理与智能体系统综述》
专知会员服务
23+阅读 · 2025年10月29日
高效大语言模型推理服务综述
高效大语言模型推理服务综述
专知会员服务
18+阅读 · 2025年4月30日
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
142页DeepSeek-R1 思维链技术:让我们一起<思考>大语言模型(LLM)的推理能力
专知会员服务
48+阅读 · 2025年4月12日
【ACL2024教程】大型语言模型对抗攻击的脆弱性,200多页ppt
【ACL2024教程】大型语言模型对抗攻击的脆弱性,200多页ppt
专知会员服务
34+阅读 · 2024年8月14日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
大模型如何重塑推荐?中科大等最新《面向推荐的大型语言模型》综述,全面阐述LLM4Rec进展
大模型如何重塑推荐?中科大等最新《面向推荐的大型语言模型》综述,全面阐述LLM4Rec进展
专知会员服务
93+阅读 · 2023年6月1日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
用模型不确定性理解模型
用模型不确定性理解模型
论智
11+阅读 · 2018年9月5日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
干货|从LSTM到Seq2Seq
干货|从LSTM到Seq2Seq
全球人工智能
15+阅读 · 2018年1月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
SECA: Semantically Equivalent and Coherent Attacks for Eliciting LLM Hallucinations
Arxiv
0+阅读 · 2月15日
Semantic Caching for Low-Cost LLM Serving: From Offline Learning to Online Adaptation
Arxiv
0+阅读 · 2月13日
Stop Tracking Me! Proactive Defense Against Attribute Inference Attack in LLMs
Arxiv
0+阅读 · 2月12日
LLM-CoOpt: A Co-Design and Optimization Framework for Efficient LLM Inference on Heterogeneous Platforms
Arxiv
0+阅读 · 2月10日
Probe and Skip: Self-Predictive Token Skipping for Efficient Long-Context LLM Inference
Arxiv
0+阅读 · 2月2日
Provable Defense Framework for LLM Jailbreaks via Noise-Augumented Alignment
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
The Semantic Trap: Do Fine-tuned LLMs Learn Vulnerability Root Cause or Just Functional Pattern?
Arxiv
0+阅读 · 1月30日
Rethinking LLM-as-a-Judge: Representation-as-a-Judge with Small Language Models via Semantic Capacity Asymmetry
Arxiv
0+阅读 · 1月30日
EVOREFUSE: Evolutionary Prompt Optimization for Evaluation and Mitigation of LLM Over-Refusal to Pseudo-Malicious Instructions
Arxiv
0+阅读 · 1月20日
相关基金
近似计算中基于概率图模型的软错误量化方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算平台中大规模交互式服务长尾延迟消减关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据中心延迟敏感型应用尾端响应时延服务质量保障方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
延迟容忍网络中自适应社会感知路由研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于犹豫模糊语言信息的定性决策理论与方法
国家自然科学基金
2+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
延迟Hamilton系统保结构算法研究及其应用
国家自然科学基金
0+阅读 · 2014年12月31日
随机延迟微分方程数值解的延迟依赖稳定性及自适应技术
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top