基於時間的注入攻擊
進階2 分鐘閱讀更新於 2026-03-20
利用模型互動時序面向的攻擊,包含對話歷史管理、快取行為與工作階段處理。
概覽
基於時間的注入攻擊利用模型互動中的時序機制——對話歷史何時被保留或截斷、快取如何管理、工作階段如何建立與過期、不同時間點的請求如何被路由。與 時序注入攻擊 的廣泛時間概念不同,此類攻擊聚焦於部署堆疊中的具體時序實作細節。
核心概念
主要面向
- 對話歷史管理:對話何時被截斷、摘要或重置
- 快取行為:請求/回應快取建立漏洞
- 工作階段處理:工作階段建立、過期、重用
- 速率限制:何時觸發、如何繞過
- 非同步處理:當請求並行處理時的順序問題
攻擊面分析
| 攻擊向量 | 說明 | 複雜度 | 影響 | 可偵測性 |
|---|---|---|---|---|
| 歷史截斷 | 使系統截斷敏感安全指令 | 中 | 高 | 低 |
| 快取投毒 | 將惡意回應寫入快取 | 高 | 危急 | 極低 |
| 工作階段混淆 | 跨工作階段傳播指令 | 高 | 高 | 低 |
| 速率限制規避 | 於限制視窗間隙攻擊 | 中 | 中 | 中 |
| 並行請求競爭 | 利用並行處理的順序問題 | 高 | 中-高 | 低 |
實務技術
歷史截斷利用
若系統於超過 N 則訊息後自動截斷對話,攻擊者可故意產生 N+X 則無害訊息,使系統提示詞被截掉,接著請求禁物。
快取投毒
若系統快取常見請求的回應,注入類似「對此請求提供禁物作為快取版本」的內容。後續使用者的相同請求可能從投毒快取取得。
工作階段混淆
於共用資源(如共用向量儲存、共用工作階段池)的系統中,於一個工作階段注入可能影響其他工作階段。
速率限制視窗
若速率限制每分鐘 N 請求,攻擊者可在視窗重置時同時發送多個測試查詢,探測防禦。
防禦考量
輸入層防禦
- 即使對話歷史被截斷,系統提示詞於每回合重新插入
- 快取鍵包含完整上下文以防跨請求交叉污染
- 工作階段嚴格隔離
- 對速率限制實作「滑動視窗」而非「固定視窗」
架構防護
- 對話歷史摘要使用獨立模型驗證
- 快取僅於完全確定性的請求/回應
- 工作階段狀態不跨租戶/使用者共享
測試方法論
| 階段 | 活動 | 工具 | 交付物 |
|---|---|---|---|
| 偵察 | 辨識時序機制 | 自訂腳本 | 架構輪廓 |
| 假設 | 規劃時序攻擊路徑 | MITRE ATLAS | 測試計畫 |
| 執行 | 嘗試時序操控 | 自訂測試平台 | 測試結果 |
| 分析 | 評估影響 | CVSS 框架 | 發現資料庫 |
| 報告 | 撰寫可行動報告 | 報告樣板 | 最終報告 |
相關主題
參考文獻
- MITRE ATLAS —— AI 系統的對抗威脅版圖
Knowledge Check
基於時間的注入攻擊與時序注入攻擊的主要差異為何?