ThirdKey 的 Jascha Wanger 本週發布了 VectorSmuggle——一個 Apache 2.0 授權的研究框架,展示了六種把任意資料藏進 vector embedding 的隱寫技術,並配了一個名為 VectorPin 的密碼學防禦方案。框架編目了擁有 ingestion pipeline 存取權的攻擊者擾動 embedding 的幾種方式(注入雜訊、旋轉、rescaling、offset、把內容拆到多個 embedding 模型),讓產生的向量在合法檢索時仍回傳正確文件,同時把隱藏 payload 帶過整條 RAG 堆疊、流向攻擊者控制的位置。配套預印本在 OpenAI 的 text-embedding-3-large 以及四個 open 模型(Nomic、EmbeddingGemma、Snowflake Arctic、MXBai)上做了測試,語料覆蓋合成 PII 集、BEIR 的醫學研究 NFCorpus、以及 Quora 問題子集,共 26,000+ 條 chunk。Payload 在 FAISS、Chroma、Qdrant 的標準與 scalar-quantized 兩種配置上都能存活。
最關鍵的發現沿一條乾淨的線分開。雜訊、scaling、offset 三類技術對 embedding 的統計分布有足夠擾動,off-the-shelf 異常偵測器能穩定抓出來——這部分威脅用現有工具可控。旋轉不行。由於把向量旋轉保持了它與空間中所有其它向量的數學關係,異常偵測器在測試過的每一種模型/語料組合裡都沒看出旋轉。在理論上限,一個基於旋轉的編碼器能以零錯誤率、每條向量攜帶約 1,920 bytes 隱藏 payload。研究者把防禦端偵測器的全部資訊透給攻擊者後,攻擊者完全規避了偵測。論文得出的結論很直接:統計性異常偵測作為首道過濾器有用,作為主要控制不頂用。現有 DLP 工具在這件事上幫不上忙,結構性原因是:它們被造出來掃描文件內容和網路流量——它們讀文件、讀 packet,但都不讀兩者之間那一層高維數值向量。
生態讀法把這項工作接到更廣的「基礎設施攻擊面」線索裡。Wanger 在 Help Net Security 那篇裡的措辭值得照搬:「目前幾乎所有 AI 安全工作都在模型層。prompt injection、jailbreak、輸出過濾、對齊——那是可見的表面,會議演講和投資都流向那裡。底下的基礎設施層——embedding、向量庫、工具契約、agent 身分——基本被當作『管道』對待。可前門重兵把守的時候,攻擊者就是從管道裡鑽進去。」這與同一天發布的 Palo Alto NHI 109:1 比例、上週 Hugging Face open-OSS 惡意程式碼故事、AWS WorkSpaces 的 MCP-agent 身分模型——都連成一片:都是同一件事的不同側面——AI 基礎設施層就是接下來兩到三年攻擊者會去的地方,也是防禦工具最落後的地方。VectorSmuggle「新攻擊類」的屬性,把這一類的優先級提了一檔:這不是設定失誤或者漏補的 patch,而是 vector-embedding 格式本身的屬性。
對在生產中跑 RAG 的 builder:Wanger 給的那個具體問題,就是明早可以問安全 leadership 的——「我們對離開自家網路的 vector embedding 內容有什麼可見度?誰負責監控這條通道?」他對大多數公司現狀的判斷是「沒有可見度、沒有人」;如果你那邊的答案也是這個,那就是 audit finding。可以評估的具體防禦:VectorPin 的密碼學簽章做法(同一 repo 裡有 Python 和 Rust 參考實作);在 embedding API 端點做 egress 監控(把它們當 S3 桶看,會漏資料的);把 ingestion pipeline 控制收緊——任何能在向量入庫之前修改向量的人都是潛在 exfiltration 點。對在做 vector-DB 產品的 builder:FAISS、Chroma、Qdrant 上的 payload 存活這一條,是必須正視的——目前 DB 層下游的防禦還不足夠。儲存庫和預印本可以從 Help Net Security 那篇裡跳過去。