特徵儲存安全(LLMops 安全)
ML 特徵儲存(Feast、Tecton、Vertex Feature Store)之安全概觀:架構與信任模型、線上與離線儲存中之攻擊面,與為 ML 系統之集中化特徵管理之安全意涵。
特徵儲存安全
特徵儲存集中化 ML 特徵之計算、儲存與服務——模型用於預測之輸入變數。藉由跨訓練與推論為特徵提供單一真相來源,特徵儲存解決訓練-服務偏差問題。它們亦造就單一攻擊點。受損特徵儲存影響每個消耗其特徵之模型,使其為尋求於規模上操弄模型行為之對手之高槓桿目標。
特徵儲存架構
核心元件
特徵儲存由數個互連元件組成,每個具其自身安全屬性:
| 元件 | 目的 | 安全相關性 |
|---|---|---|
| 離線儲存 | 為訓練之歷史特徵資料 | 訓練資料完整性;含完整特徵歷史 |
| 線上儲存 | 為推論之低延遲特徵服務 | 即時預測操弄;直接影響活流量 |
| 特徵變換管線 | 自原始資料計算特徵 | 變換邏輯操弄;控制模型所見 |
| 特徵註冊 | 關於可用特徵之 metadata | 特徵發現;暴露資料 schema 與關係 |
| 物化管線 | 自離線儲存同步特徵至線上儲存 | 一致性執行;同步受損造就偏差 |
資料流
Raw data sources -> Feature transformation -> Offline store -> Materialization -> Online store
| |
v v
Training pipeline Inference API
攻擊者可於此流之任何點介入。影響變化:
- 變換操弄 影響訓練與推論資料兩者
- 離線儲存投毒 影響未來模型訓練
- 線上儲存投毒 立即影響即時預測
- 物化操弄 造就造成細微預測錯誤之訓練-服務偏差
平台比較
Feast(開源)
Feast 為最廣泛部署之開源特徵儲存。
架構: Feast 作為現有資料基礎設施上之薄服務層。離線儲存典型為資料倉儲(BigQuery、Redshift、Snowflake),而線上儲存為鍵值儲存(Redis、DynamoDB、SQLite)。
安全模型:
- 身分驗證取決於底層資料儲存(雲端 IAM、資料庫憑證)
- 於特徵層級無內建存取控制
- 特徵定義為於 Git 儲存庫之程式碼
- Feast 伺服器本身於預設組態無身分驗證
關鍵弱點:
- 預設部署無身分驗證
- 不支援特徵層級存取控制
- 物化工作以 Feast 服務帳戶之權限執行
- 線上儲存憑證跨所有特徵消費者共享
Tecton
Tecton 為於相似概念上加入企業特性之受管特徵平台。
安全模型:
- 以工作區為本之存取控制
- 為特徵管理之以角色為本之權限
- 為特徵存取之稽核記錄
- 網路隔離選項(VPC、私有端點)
關鍵弱點:
- 工作區層級粒度可能太粗
- 為物化之服務帳戶具廣泛資料存取
- 特徵變換程式碼於 Tecton 管理之基礎設施執行
- 跨工作區特徵分享可能違反資料邊界
Vertex Feature Store(Google Cloud)
Vertex Feature Store 為與 Vertex AI 整合之 Google Cloud 之受管特徵儲存。
安全模型:
- 為存取控制之 Google Cloud IAM
- 為網路隔離之 VPC Service Controls
- 靜態與傳輸中資料加密
- 經 Cloud Audit Logs 之稽核記錄
關鍵弱點:
- IAM 政策可能過度寬鬆
- 特徵儲存存取常於專案層級而非每特徵被授予
- BigQuery 離線儲存存取可能未被獨立控制
- 用於特徵攝取之服務帳戶可能具廣泛權限
攻擊面分析
線上儲存攻擊
線上儲存為即時推論服務特徵。操弄線上儲存資料直接影響模型預測。
直接值操弄。 若攻擊者獲對線上儲存(Redis、DynamoDB)之寫入存取,它們可為特定實體修改特徵值。模型接收被操弄特徵並於不改變模型本身下產出受攻擊者影響之預測。
快取投毒。 若線上儲存快取特徵值,投毒快取造成不正確特徵被服務直至快取被重新整理。離線儲存可能含正確值,但線上儲存服務投毒者。
可用性攻擊。 將線上儲存下線迫使模型或失敗(若特徵為必需)或回退至預設值(若組態)。任一結果降級模型品質並可能造就可利用行為。
離線儲存攻擊
離線儲存含用於訓練之歷史特徵資料。投毒離線儲存影響未來模型訓練。
歷史資料修改。 修改歷史特徵值為未來模型改變訓練資料。因特徵儲存維護時序資料,攻擊者可修改特定時間視窗以針對特定訓練期間。
Schema 操弄。 改變特徵 schema(資料類型、值範圍、預設值)可造成訓練管線失敗或未被型別檢查捕捉之細微資料破壞。
特徵變換攻擊
特徵變換將原始資料轉為模型就緒之特徵。受損變換影響所有下游消費者。
邏輯修改。 改變變換邏輯(例如改變正規化公式、改變類別編碼,或修改特徵衍生)影響由該變換計算之所有特徵。
依賴注入。 特徵變換可能 import 外部函式庫。受損這些函式庫受損變換管線。
訓練-服務偏差作為攻擊向量
訓練-服務偏差通常為錯誤。攻擊者可藉由蓄意造就偏差將其武器化。
蓄意偏差攻擊
| 技術 | 機制 | 效應 |
|---|---|---|
| 僅離線投毒 | 修改離線儲存但不修改線上儲存 | 模型於投毒資料訓練但以乾淨特徵服務;模型效能不可預期地退化 |
| 僅線上投毒 | 修改線上儲存但不修改離線儲存 | 於乾淨資料訓練之模型於推論接收非預期特徵分布;預測品質下降 |
| 選擇性投毒 | 僅為特定實體投毒特徵 | 為特定使用者或項之針對性預測操弄 |
| 時序投毒 | 為特定時間視窗修改特徵 | 含投毒視窗之未來訓練執行產出受損模型 |
資料保護關切
特徵中之 PII
特徵儲存常含個人可識別資訊:
- 用作模型特徵之使用者人口統計
- 交易歷史
- 位置資料
- 行為輪廓
- 可被反轉以恢復原始內容之文字 embedding
受損特徵儲存為儲存中之每個實體洩漏 PII,可能含 ML 系統之所有使用者。
跨團隊資料暴露
特徵儲存為跨團隊之特徵分享設計。此造就資料暴露風險:
- 團隊 A 自敏感資料建立特徵並分享之
- 團隊 B 於不理解敏感度下消耗特徵
- 特徵儲存成為存取團隊 B 不應具有資料之側通道
資料居留與合規
為延遲跨區域複製資料之特徵儲存(線上儲存複製)可能違反資料居留要求。自歐盟使用者資料計算並複製至美國線上儲存之特徵可能違反 GDPR 資料傳輸限制。
防禦建議
存取控制
- 實作特徵層級存取控制,非僅儲存層級
- 為讀取與寫入操作使用分離服務帳戶
- 限制特徵發現(註冊存取)至授權團隊
- 稽核誰存取何特徵及多常
資料完整性
- 於物化期間雜湊特徵值並於服務時驗證
- 監控特徵分布尋找非預期轉移
- 於變換管線實作資料品質檢查
- 維護所有特徵修改之不可變稽核記錄
網路安全
- 將線上儲存自直接外部存取隔離
- 為特徵儲存 API 使用私有端點
- 限制物化管線網路存取
- 監控異常特徵存取模式
合規
- 按敏感度分類特徵(PII、財務、健康)
- 於非生產環境為敏感特徵實作資料遮蔽
- 為合規稽核追蹤特徵血緣回來源資料
- 於線上儲存複製執行資料居留要求
相關主題
攻擊者修改線上儲存(用於推論)中之特徵值但不修改離線儲存(用於訓練)。此為何類型攻擊,預期影響為何?