CacheSolidarity: Preventing Prefix Caching Side Channels in Multi-tenant LLM Serving Systems

本文提出了 CacheSolidarity 系统，通过动态监控并选择性隔离可疑的跨租户前缀缓存共享，在有效防御大语言模型多租户服务中自动前缀缓存（APC）引发的时序侧信道攻击的同时，避免了现有防御方案因完全隔离用户而导致的性能损失，实现了高达 70% 的缓存复用率提升和 30% 的推理延迟降低。

要点

这篇论文讲述了一个关于大型语言模型（LLM）如何既快又安全的故事。

想象一下，你正在一家非常繁忙的超级餐厅（这就是大型语言模型服务系统）里吃饭。这家餐厅的厨师（AI 模型）非常厉害，能瞬间写出各种文章、代码或故事。

1. 餐厅的“秘密武器”：自动前缀缓存 (APC)

为了让大家吃得更快，餐厅发明了一个**“万能预制菜”系统**，叫做自动前缀缓存 (APC)。

• 原理：如果顾客 A 点了“一份红烧肉，加辣，配米饭”，厨师做完后，会把“红烧肉”这部分的做法记在脑子里。
• 好处：当顾客 B 也点了“一份红烧肉，加糖，配面条”时，厨师不需要重新想“红烧肉”怎么做，直接调用之前的记忆，瞬间就能上菜。
• 结果：餐厅效率极高，大家排队时间变短了。

2. 隐藏的危机：时间侧信道 (Timing Side Channel)

但是，这个“万能预制菜”系统有一个致命的副作用，就像餐厅里有一个**“时间窃听者”**。

• 场景：
  • 如果顾客 B 的开头和顾客 A 一样（比如都点了“红烧肉”），厨师瞬间就能反应，上菜极快（缓存命中）。
  • 如果顾客 B 的开头不一样（比如点了“清蒸鱼”），厨师需要从头开始思考，上菜就慢一点（缓存未命中）。
• 攻击：
  • 一个坏蛋（黑客）坐在旁边，手里拿着秒表。
  • 他看到隔壁桌的顾客 A 正在输入一段秘密信息（比如“我的密码是 123456"）。
  • 坏蛋开始疯狂尝试输入：“密码是 1..."、“密码是 2..."、“密码是 3..."。
  • 当他输入到“密码是 123456"时，因为和顾客 A 的开头完全一样，厨师反应特别快。
  • 坏蛋通过秒表发现：“哇！这次上菜特别快！说明我猜对了！”
  • 就这样，坏蛋通过观察上菜速度的快慢，一步步猜出了顾客 A 的完整秘密，而顾客 A 完全不知道。

3. 以前的笨办法：把所有人都隔离 (User Isolation)

为了防住这个坏蛋，以前的餐厅经理想出了一个**“笨办法”**：

• 做法：为了安全，以后禁止任何两个顾客共享“预制菜”。每个顾客都要有自己的专属厨师，哪怕他们点的开头一模一样，也不能复用记忆。
• 后果：虽然安全了，坏蛋猜不出来了，但餐厅效率暴跌。所有顾客都要等很久，因为厨师每次都得从头开始做。这对那些只是正常吃饭的无辜顾客（普通用户）太不公平了。

4. 本文的解决方案：CacheSolidarity (缓存团结)

这篇论文提出了一种聪明的新系统，叫 CacheSolidarity。它的核心理念是：“团结就是力量，但要有原则。”

它不像以前那样“一刀切”地隔离所有人，而是像一位精明的餐厅经理，做了三件事：

A. 给每道菜贴个“标签” (监控与标记)

• 系统会监控谁在吃“红烧肉”。
• 如果顾客 A 先吃了“红烧肉”，系统会给这道菜贴上“顾客 A 专属”的标签。
• 如果顾客 B 也来吃“红烧肉”，系统会立刻警觉：“嘿，这道菜被不同人点了！”

B. 只隔离“可疑”的部分 (选择性隔离)

• 正常情况：如果顾客 A 和顾客 B 只是点了同样的“红烧肉”，但后面内容不同，系统允许复用“红烧肉”的记忆（因为这部分通常不敏感）。
• 危险情况：如果系统发现有人（坏蛋）在反复试探同一个开头（比如不断猜密码），系统会立刻给这个“开头”贴上**“危险隔离”**的标签。
• 结果：
  • 对于无辜的顾客（比如只是正常聊天的人）：只要他们不触发警报，依然可以享受“预制菜”带来的极速服务。
  • 对于坏蛋：一旦他试图利用“红烧肉”来猜秘密，系统就会切断他的“捷径”，强迫他重新从头计算。坏蛋再也无法通过“上菜速度”来猜出秘密了。

C. 智能开关 (Activator)

• 系统还有一个智能开关。它知道，如果餐厅人太多（系统负载高），大家排队时间都很长，这时候“上菜快慢”的差别就不明显了，坏蛋根本听不出区别。
• 在这种情况下，系统会暂时关闭防御模式，让大家享受全速服务。
• 一旦餐厅人少，且坏蛋开始试探，系统立刻开启防御。

总结：为什么这个方案很棒？

• 以前的笨办法：为了防贼，把所有人都关进小黑屋，大家都饿着肚子等。
• CacheSolidarity：
  • 对好人：依然让你吃得飞快，享受“预制菜”的便利。
  • 对坏人：一旦他试图偷窥，立刻切断他的捷径，让他猜不到秘密。
  • 效率：比以前的笨办法快 30%，缓存利用率高了 70%。

一句话总结：
这篇论文发明了一种**“智能安检”，它不再把所有人都当成坏人隔离起来，而是像一位敏锐的保安**，只盯着那些行为可疑的人，在保护大家隐私的同时，让餐厅依然保持飞一般的速度。

技术摘要

论文技术总结：CacheSolidarity

1. 研究背景与问题定义 (Problem)

背景：
大型语言模型（LLM）服务广泛采用**自动前缀缓存（Automatic Prefix Caching, APC）**技术来加速推理。APC 通过复用之前请求中已计算的模型状态（即前缀部分），避免重复计算，从而显著降低延迟并提高吞吐量。这一技术已被 OpenAI、DeepSeek、vLLM 等主流框架和 API 采用。

核心问题：APC 引发的时序侧信道攻击
尽管 APC 提升了性能，但在多租户（Multi-tenant）环境中，它引入了严重的**时序侧信道（Timing Side Channel）**漏洞：

• 攻击原理： 缓存命中（Cache Hit）的处理速度明显快于缓存未命中（Cache Miss）。攻击者可以通过精心构造提示词（Prompt），测量“首字元生成时间”（Time-to-First-Token, TTFT），从而判断自己的输入是否与受害者请求的前缀匹配。
• 攻击后果： 攻击者可以利用这种命中/未命中的模式，通过迭代猜测，逐步重构受害者的敏感提示词（Prompt Stealing），窃取其中的私人信息（如姓名、医疗记录、API 密钥等）。
• 现有防御的缺陷： 当前的防御方案主要采取“大棒”策略，存在以下弊端：
  1. 完全隔离（User-level Isolation）： 禁止不同用户间共享缓存。这虽然安全，但彻底牺牲了 APC 带来的性能优势，导致延迟增加和吞吐量下降。
  2. 时序混淆（Timing Obfuscation）： 人为注入噪声使所有请求耗时一致。这增加了所有用户的延迟，且无法从根本上解决缓存共享带来的泄露源。
  3. 选择性共享（Selective Sharing）： 依赖 LLM 进行语义分析来识别敏感内容。这种方法计算开销大，且存在误分类风险。

核心挑战： 如何在防止 APC 时序侧信道攻击的同时，保留 APC 带来的高性能优势，避免对良性用户造成不必要的性能惩罚。

---

2. 方法论与系统设计 (Methodology)

论文提出了 CacheSolidarity，一种轻量级的系统级解决方案。其核心设计理念是**“协作效率”（Cooperative Efficiency）**：即良性用户应通过共享缓存受益，只有当共享行为构成安全威胁时，才进行隔离。

2.1 核心洞察

• 不需要隔离整个用户，只需隔离那些可能被利用的共享前缀。
• APC 侧信道的可 exploitability（可利用性）并非恒定，而是取决于前缀长度、模型大小、系统负载（RPS）和硬件平台。在高负载下，排队延迟会掩盖缓存命中的时间差异，使得攻击难以实施。

2.2 系统架构

CacheSolidarity 基于 vLLM 构建，包含三个关键组件：

1. KV 缓存扩展 (KV Cache Extension)：

   • 为每个缓存条目添加极少量的元数据：
     • OwnerID：记录创建该条目的用户 ID。
     • AttackFlag：标记该前缀是否因被多用户复用而被隔离。
   • 元数据开销极小（每个条目仅增加约 32 字节）。

2. 检测器 (Detector)：

   • 工作流程： 当请求命中缓存时，检测器检查 OwnerID。
   • 逻辑：
     • 如果是未标记的前缀且属于当前用户：正常复用。
     • 如果是未标记的前缀但属于其他用户：将该前缀标记为 AttackFlag（隔离），并阻止后续非所有者用户继续复用该路径。
     • 如果是已标记的前缀：仅允许原始所有者继续复用；非所有者在此处停止复用，剩余部分重新计算（Partial Hit）。
   • 效果： 攻击者无法通过复用前缀来探测更深层的敏感内容，因为一旦跨用户复用发生，后续路径即被切断。

3. 激活器 (Activator)：

   • 动态开关： 基于当前系统状态（模型、负载、硬件）动态决定是否启用隔离机制。
   • 判断依据： 实时监测缓存命中与未命中的 TTFT 分布，计算核密度估计（KDE）重叠度。
     • 若重叠度高（>阈值 $\theta$）：说明时序差异不明显，攻击难以实施，关闭隔离机制以最大化性能。
     • 若重叠度低（<阈值 $\theta$）：说明时序差异明显，攻击可行，开启隔离机制。
   • 优势： 避免了在系统高负载（此时攻击本身无效）时进行不必要的隔离，进一步减少开销。

---

3. 主要贡献 (Key Contributions)

1. 深入的动机分析： 详细分析了 APC 时序侧信道的可利用性边界，指出其受前缀长度、模型规模、系统负载和硬件的联合影响，推翻了以往认为 APC 漏洞始终存在的假设。
2. CacheSolidarity 系统设计： 提出了一种无需语义分析、无需隔离整个用户的轻量级防御机制。通过选择性隔离可疑前缀而非用户，实现了安全与性能的平衡。
3. 形式化安全分析： 提供了针对提示词窃取攻击的安全保证证明，明确了防御机制的边界条件（如不保护首词猜测，但保护后续迭代猜测）。
4. 广泛的实证评估： 在 9 种不同规模和家族的 LLM 模型及多种多租户工作负载下进行了评估。

---

4. 实验结果 (Results)

实验在 NVIDIA A100 GPU 上运行，对比了三种方案：无防护 APC、用户级隔离（User Cache Isolation）和 CacheSolidarity。

• 性能提升：

  • 与用户级隔离方案相比，CacheSolidarity 实现了高达 70% 的缓存复用率提升。
  • 推理延迟（TTFT）降低了 30%。
  • 在大多数工作负载下，CacheSolidarity 的性能表现接近无防护的 APC（仅相差 5-10%），远优于隔离方案。

• 安全性验证：

  • 在模拟的提示词窃取攻击中，无防护系统能清晰观察到攻击者猜中秘密时的 TTFT 突降（命中）。
  • 在 CacheSolidarity 保护下，攻击者的 TTFT 和命中率在所有尝试中保持均匀，成功阻断了侧信道信息泄露。

• 开销分析：

  • 时间开销： 每个请求仅增加约 0.007 ms（检测器 0.004ms + 激活器 0.003ms）。
  • 内存开销： 每个缓存条目仅增加 32 字节，对显存压力极小。

• 敏感性分析：

  • 通过调整 KDE 重叠阈值，系统管理员可以在安全性和性能之间灵活权衡。

---

5. 意义与影响 (Significance)

1. 重新定义 LLM 安全范式： 证明了在 LLM 服务中，安全性不必以牺牲性能为代价。通过细粒度的前缀隔离而非粗粒度的用户隔离，可以实现“双赢”。
2. 实用性与落地性： 该方案基于开源框架 vLLM 实现，元数据开销极小，且无需复杂的语义分析模型，易于集成到现有的生产级 LLM 服务中。
3. 动态适应性： 引入的 Activator 组件展示了根据系统环境动态调整安全策略的重要性，避免了“过度防御”带来的资源浪费。
4. 开源贡献： 作者计划开源 CacheSolidarity，促进社区采纳和进一步研究，为多租户 LLM 服务的安全部署提供了重要的参考基准。

总结： CacheSolidarity 通过巧妙的系统级设计，解决了 APC 技术带来的侧信道安全痛点，在保障多租户隐私的同时，最大程度地保留了现代 LLM 服务的高性能特性，是 LLM 基础设施安全领域的一项重要进展。