企業採用檢索增強生成技術，將敏感的企業內容轉移到一種新型儲存格式，而現有的安全工具無法對其進行檢查。部署內部人工智慧助理的公司會將文件轉換為高維數值向量，並透過普通的HTTPS連接將其傳送到嵌入服務和向量資料庫。資料防洩漏產品會掃描文件和網路流量，但不會讀取其中的任何內容。

向量嵌入安全性

由ThirdKey的Jascha Wanger以Apache 2.0許可證發布的名為VectorSmuggle的研究框架，展示了攻擊者如何利用這個漏洞。該計畫將針對向量嵌入的隱寫術竊取技術的實證研究與一種名為VectorPin的加密防禦方案結合。

襲擊

VectorSmuggle 列舉了攻擊者利用其對資料攝取管道的存取權限，將資料隱藏在嵌入向量中的六種方法。一些方法是在每個向量中添加少量雜訊，另一些方法則會旋轉、縮放或平移向量。還有一種技術是將內容分割到多個嵌入模型中，使得每個單獨的向量儲存只能看到其中的一部分。當使用者進行合法搜尋時，這些經過擾動的向量仍然會傳回正確的文件。只不過，它們也攜帶了攻擊者想要走私出去的訊息。

配對預印本將這些技術與 OpenAI 的 text-embedding-3-large 模型以及來自 Nomic、EmbeddingGemma、Snowflake Arctic 和 MXBai 的四個開源模型進行了對比測試。語料庫測試涵蓋了一個合成的個人識別資訊集、BEIR 醫學研究語料庫 NFCorpus 以及 Quora 問題子集，總計超過 26,000 個內容區塊。

研究結果在一條對防禦者至關重要的分界線上出現了分歧。雜訊、縮放和偏移技術會改變嵌入的統計分佈，使得現成的異常偵測器能夠可靠地偵測到它們，旋轉則有所不同。由於旋轉向量保留了與其他向量的數學關係，因此在研究人員測試的所有模型和語料庫組合中，同樣的偵測器都無法偵測到旋轉向量。在通道的理論極限下，基於旋轉構建的編碼器可以以零錯誤率移動每個向量大約 1920 位元組的隱藏有效載荷。

此酬載能夠繞過安全團隊常用的向量資料庫，包括標準配置和標量量化配置下的 FAISS、Chroma 和 Qdrant。當研究人員將防禦異常偵測器的全部資訊告知攻擊者時，攻擊者可以完全繞過偵測。統計檢測作為初步過濾手段是有用的，但不足以作為主要控製手段。

與領導階層的對話

Wanger 用簡潔明了的語言描述了企業批准內部人工智能助手時所達成的交易：為了換取生產力的提升，公司同意將其敏感文檔轉換為一種新的文件格式，並將其發送到一個安全團隊無人能夠存取的服務。這種新的文件格式被稱為向量嵌入，現有的數據防洩漏 (DLP) 工具無法讀取它，現有的出口監控也無法解讀它。

他表示，VectorSmuggle 表明，「擁有內部存取權限或 RAG 管道被攻破的攻擊者可以利用借鑒自隱寫術的技術，將任意數據隱藏在這些向量中。這些向量對於合法的搜索仍然有效。它們只是攜帶了安全團隊無法發現的有效載荷，並將數據發送到安全團隊無法監控的地方。」

對於負責審批這些部署的首席資訊安全官 (CISO) 和董事會成員，Wanger 建議安全團隊提出一個具體問題：“我們對離開我們網路的向量嵌入內容的可見性如何？誰負責監控該通道？” 他對大多數公司目前的狀況評估是：“既不可見，也沒有人負責。這就是問題的癥結所在。”

一項防禦性提案

該程式碼庫還包含一個名為 VectorPin 的配套防禦機制。它會在建立每個嵌入向量時對其進行加密簽名，任何後續修改都會破壞簽名。如果攻擊者篡改向量以隱藏數據，驗證將失敗，並且被篡改的嵌入向量將被標記，該程式碼庫提供了 Python 和 Rust 的參考實作。

Wanger認為這項工作是更廣泛調查的一部分。「目前幾乎所有的AI安全工作都集中在模型層。例如，注入攻擊、越獄、輸出過濾和對齊。這些都是顯而易見的表面，也是會議討論和資金投入的重點。而底層的架構層，例如嵌入、向量存儲、工具合約和代理身份，在很大程度上被視為管道系統。當正門防禦嚴密時，管道系統恰恰是攻擊者會攻擊者會攻擊的地方。

他預測，未來幾年企業人工智慧安全事件將主要來自這一層面。“企業會不斷優化模型，訓練拒絕機制，針對提示進行紅隊演練，但仍然會通過現有工具原本無法檢測到的渠道洩露數據。”

資料來源：https://www.helpnetsecurity.com/2026/05/14/vectorsmuggle-vector-embedding-security/