Microsoft 與 Institute of Science Tokyo 在 5 月 18 日揭露了 MetaBackdoor —— 一個由輸入長度、而不是由內容來觸發的 LLM 後門攻擊,繞過了所有去找可疑 token 或異常文字的那一整類防禦。機制是:能接觸到 fine-tuning 資料的攻擊者,把「長輸入」與「惡意輸出」配對去毒化樣本。模型學會:只要輸入長度跨過一個門檻,就切到攻擊模式。僅需 90 條毒化樣本,就足以把這個行為植入。在 700+ token 的對話長度下,經由 tool call 做自主資料外傳的成功率達 75%;即便經過大規模 retraining,殘留率仍然約 40%。
架構上的洞察在於:訊號通道選錯了。現有防禦 —— prompt injection 掃描器、content filter、anomaly detector —— 全都跑在輸入的內容上。它們看的是 token 裡寫了什麼。MetaBackdoor 用「輸入長度」當觸發訊號,這意味著面向內容的防禦整個看錯了軸。writeup 說得直白:「content filter 沒東西可濾。anomaly detector 看到的是普通文字。」這不是某個具體防禦失效,而是防禦類別錯位。訓練期的攻擊,對推論期的內容巡檢來說,在結構上就是不可見的。對 builder 而言,推論是:輸入的形狀(長度、token 類型分布、請求頻率)是一個目前防禦一直沒在儀表化的訊號通道。
門檻很關鍵:700+ token 正好是大多數生產環境裡 agent 互動所處的典型對話長度。多輪 chat agent、長上下文code agent、RAG 管線、tool call 迴圈 —— 在正常使用下都會越過這個門檻。90 條樣本的毒化體量也小到足以悄悄混進 RLHF 外包方的輸出、客戶回饋資料集、或公開 fine-tuning 語料,而不被察覺。這把 MetaBackdoor 歸到 Anthropic 的 sleeper-agent 研究和各種 dataset poisoning 論文同一類威脅裡 —— 但它獨有的貢獻是:觸發器不必是攻擊者在推論時能控制的某個獨特 token 或短語。觸發器是輸入形狀的某種屬性,而攻擊者只要確保該應用正常使用模式跨過那個門檻就能保證觸發。這讓這次攻擊在模型一旦部署之後,就是「打完就走」的。
週一上手:如果你用任何第三方的資料(RLHF 外包方、客戶回饋、公開資料集)去 fine-tune 一個 foundation model,MetaBackdoor 給你的 supply-chain 風險模型加了一個新的威脅向量 —— 你的 foundation model 出處和你的 fine-tuning 資料集出處都需要按 vendor-risk 來處理。red-team 測試上推薦的檢查方式是:在不同輸入長度下做行為一致性檢查 —— 用同一個 prompt 分別在 100、500、1000、2000 token 上問你 fine-tune 完的模型,看輸出有沒有發散。如果你的堆疊在用 agentic tool call,700 token 門檻就是你的線:在對話深度超過這個點之後再 fire 的 tool call,要做 human-in-the-loop 確認。更深一層的開放問題是:防禦得從內容巡檢,擴展到沿整個管線監控輸入形狀訊號。這跟今天大多數團隊手裡的安全堆疊,是相當不同的一套東西。