文章总结： 文档推荐了NDSS2026关于大模型语义缓存投毒的论文。厂商为降本增效采用语义缓存技术，攻击者可利用前缀匹配构造恶意查询，结合提示工程诱导模型生成错误答案并存入缓存，导致后续用户获取被污染信息。该攻击在AWS、阿里等平台成功率较高，涉及文本与图像生成场景。建议厂商加强缓存安全机制，防范此类新型攻击风险。 综合评分： 82 文章分类： AI安全,漏洞分析,WEB安全,渗透测试

G.O.S.S.I.P 阅读推荐 2026-03-26 先污染后治理

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年3月26日 20:20 上海

前几年web安全研究方向有一个很有趣的议题是针对CDN的缓存投毒攻击，核心攻击思路在于利用了CDN在服务不同用户的相似请求时可能会缓存并重用相关资源，从而造成（机密）信息泄露等危害。这几年随着LLM的飞速发展，攻击者很自然地就能把类似的攻击思路迁移过来，于是就有了我们今天要推荐的这篇NDSS 2026会议论文 When Cache Poisoning Meets LLM Systems: Semantic Cache Poisoning and Its Countermeasures的相关研究内容：

首先了解下基本原理：万恶的厂商为了降本增效，肯定要想方设法减少算力的开销，因此如果遇到不同的用户提出了相似的问题（例如下图这样的），是不是可以把答案（突然想到这几天大家吵得很凶的“词元”这个翻译）缓存起来，节省相关的算力消耗呢？（当然，人家说不定还继续问你要“词元”的费用）

在这个方面，比较出名的是GPTCache这个方案，它实现了一种叫做 semantic caching 的设计，也被 AWS、阿里和 Azure 用在了实际的生产环境。在厂商眼中，semantic caching 的技术栈是下图这样的：

但是在那些研究web安全的玩家眼中肯定会放出来不一样的光芒：前几年讨论得火热的CDN投毒攻击，这不马上又有了新的用武之地？

不过对LLM投毒最困难的是怎么去“污染”LLM的回答，比如前面提到的例子，攻击者得想办法让LLM给出一个错误的答案（例如“NDSS 2026在鹤岗召开”），然后还要让错误的答案对应相关的问题，里面有很多的挑战。首先是攻击者要去构造一个 malicious query 来诱导LLM回答，然后这个 malicious query 还得和普通的问题足够相似，这样会被 semantic caching 机制选中，才能起到污染的效果；其次是怎么保证 malicious query 能够产生特定的污染效果。

要让 malicious query 和普通的问题类似，作者说这里只需要很简单的把普通的问题作为一个 malicious query 的前缀就好了：

而要让LLM回答出错，就要使用特定的 prompt engineering 去引导它，这方面估计我们的读者更有经验？各种大模型越狱比赛肯定能培养出很多“污染小能手”吧~

总之最后攻击成功的效果就是把一些恶意的答案注入到 LLM 服务的缓存里面：

比较有意思的是，文本生图（Text-to-Image Generation）也可以用这个方法注入（你能看出来下图中的注入内容了吗）：

作者去调查了相关的服务（AWS、阿里和Azure的产品），同时也自己部署了GPTCache来测试，发现攻击的成功率蛮高的：

不过这个也提醒了厂商，以后可以搞一个VIP服务，如果不充钱，就给你用可能会被污染的缓存结果，只要充了足够的会费，给用户一个专享绝无污染的超级大会员？

论文：https://dev.ndss-symposium.org/wp-content/uploads/2026-f200-paper.pdf slides：https://www.ndss-symposium.org/wp-content/uploads/F0200-zhang-slides.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-03-26 先污染后治理》