什么是加密推理Matthew Green 于 2026 年 5 月 29 日发布文章分享业余项目。该项目与密码学关系不大却让他对前沿大语言模型LLMAPI 和编码代理有诸多了解还获 OpenAI “网络研究员” 认证。上周他设置 OpenClaw 代理配置与 Claude 通信时收到错误提示引发对 LLM “思考” 块签名的好奇。他花 20 小时、用约 500 万个 Codex 令牌尝试学到了一些东西。大多数 LLM 提供商提供 APIClaude 的是 [Messages](https://platform.claude.com/docs/en/build-with-claude/working-with-messages) APIOpenAI 的是 [Responses](https://developers.openai.com/api/reference/responses/overview) API能处理常规任务。推理型 LLM 会发送模型隐藏的 “推理” 或 “思考” 字段内容的加密副本引出 “如何实现”“为什么”“那又怎样” 三个问题。“如何实现” 方面数据以 JSON 形式发送包含 Base64 编码内容块不同提供商块内容有别核心是随机字符串像是认证密文。那又怎样不透明加密块是否值得关注最初答案似是否定的但模型推理重要加密保护或有充分理由。OpenAI 2024 年文章显示块可能含敏感信息密码学保护使其难读取修改。有重放和侧信道两个探索方向Matthew Green 测试后发现两种情况皆有可能。我们能重放吗可以。直接篡改推理块会致 API 端点报错重放未修改旧推理块可行不同会话、账户甚至不同模型间OpenAI也有效。这表明提供商可能用全局密钥加密认证推理数据存在安全问题。使用全局密钥有新威胁应用程序要清理聊天输入。LLM 提供商接受重放块不代表模型实际 “看到” 数据Matthew Green 实验发现不同模型处理方式有差异加密块有 “语义活性”但利用其做事不易。我们能利用推理块来获取秘密吗重放推理块可能不行但可利用元数据了解秘密。虽无法直接读取推理块但能了解长度、令牌数等信息可作为侧信道提取秘密数据攻击者还可通过测量模型响应时间获取相似信号推理本身可能泄露信息。我们能利用这个侧信道提取平台秘密例如模型的顶级机密系统提示吗发现侧信道后 Matthew Green 兴奋想挖掘顶级机密指令提示但 Codex 和 Claude Code 拒绝帮忙他改用 Kimi 2.6 的 OpenCode。实验发现 GPT 5x 和 Claude 无系统提示却声称有逼它们会编造提示Kimi 2.6 会夸人但结果常错Kimi 在编码和实验设计方面出色。他能提取特定应用程序秘密无法提取模型提示没勇气冲击公共网页界面目前只能说 “有可能”认为模型提供商应重视推理数据。提供商可以做些什么Matthew Green 向 OpenAI 和 Anthropic 报告问题OpenAI 称无法重现Anthropic 认为无安全影响但可能修改文档提醒开发者。他认为提供商不应忽视问题可 “改进密钥管理”侧信道问题与模型工作方式相关最好推理前应用策略门控但有缺点。他庆幸自己只是密码学家不用考虑这类问题。相关标签- [coding - agents](https://blog.cryptographyengineering.com/tag/coding - agents/)- [Cryptography](https://blog.cryptographyengineering.com/tag/cryptography/)- [frontier - llm - apis](https://blog.cryptographyengineering.com/tag/frontier - llm - apis/)Matthew Green 是约翰霍普金斯大学的密码学家和教授设计分析过多种密码系统关注密码学促进用户隐私的方式。发布时间2026 年 5 月 29 日文章导航[匿名凭证图文入门第二部分](https://blog.cryptographyengineering.com/2026/04/17/anonymous - credentials - an - illustrated - primer - part - 2/)关于 “聊聊加密推理” 的一条评论1. Anna Krokova 称密钥已泄露Opus 4.7 和 4.8 的训练块及其签名已被完全解密。
加密推理大揭秘:重放、侧信道能否提取模型秘密?提供商该如何应对?
发布时间:2026/6/3 4:19:03
什么是加密推理Matthew Green 于 2026 年 5 月 29 日发布文章分享业余项目。该项目与密码学关系不大却让他对前沿大语言模型LLMAPI 和编码代理有诸多了解还获 OpenAI “网络研究员” 认证。上周他设置 OpenClaw 代理配置与 Claude 通信时收到错误提示引发对 LLM “思考” 块签名的好奇。他花 20 小时、用约 500 万个 Codex 令牌尝试学到了一些东西。大多数 LLM 提供商提供 APIClaude 的是 [Messages](https://platform.claude.com/docs/en/build-with-claude/working-with-messages) APIOpenAI 的是 [Responses](https://developers.openai.com/api/reference/responses/overview) API能处理常规任务。推理型 LLM 会发送模型隐藏的 “推理” 或 “思考” 字段内容的加密副本引出 “如何实现”“为什么”“那又怎样” 三个问题。“如何实现” 方面数据以 JSON 形式发送包含 Base64 编码内容块不同提供商块内容有别核心是随机字符串像是认证密文。那又怎样不透明加密块是否值得关注最初答案似是否定的但模型推理重要加密保护或有充分理由。OpenAI 2024 年文章显示块可能含敏感信息密码学保护使其难读取修改。有重放和侧信道两个探索方向Matthew Green 测试后发现两种情况皆有可能。我们能重放吗可以。直接篡改推理块会致 API 端点报错重放未修改旧推理块可行不同会话、账户甚至不同模型间OpenAI也有效。这表明提供商可能用全局密钥加密认证推理数据存在安全问题。使用全局密钥有新威胁应用程序要清理聊天输入。LLM 提供商接受重放块不代表模型实际 “看到” 数据Matthew Green 实验发现不同模型处理方式有差异加密块有 “语义活性”但利用其做事不易。我们能利用推理块来获取秘密吗重放推理块可能不行但可利用元数据了解秘密。虽无法直接读取推理块但能了解长度、令牌数等信息可作为侧信道提取秘密数据攻击者还可通过测量模型响应时间获取相似信号推理本身可能泄露信息。我们能利用这个侧信道提取平台秘密例如模型的顶级机密系统提示吗发现侧信道后 Matthew Green 兴奋想挖掘顶级机密指令提示但 Codex 和 Claude Code 拒绝帮忙他改用 Kimi 2.6 的 OpenCode。实验发现 GPT 5x 和 Claude 无系统提示却声称有逼它们会编造提示Kimi 2.6 会夸人但结果常错Kimi 在编码和实验设计方面出色。他能提取特定应用程序秘密无法提取模型提示没勇气冲击公共网页界面目前只能说 “有可能”认为模型提供商应重视推理数据。提供商可以做些什么Matthew Green 向 OpenAI 和 Anthropic 报告问题OpenAI 称无法重现Anthropic 认为无安全影响但可能修改文档提醒开发者。他认为提供商不应忽视问题可 “改进密钥管理”侧信道问题与模型工作方式相关最好推理前应用策略门控但有缺点。他庆幸自己只是密码学家不用考虑这类问题。相关标签- [coding - agents](https://blog.cryptographyengineering.com/tag/coding - agents/)- [Cryptography](https://blog.cryptographyengineering.com/tag/cryptography/)- [frontier - llm - apis](https://blog.cryptographyengineering.com/tag/frontier - llm - apis/)Matthew Green 是约翰霍普金斯大学的密码学家和教授设计分析过多种密码系统关注密码学促进用户隐私的方式。发布时间2026 年 5 月 29 日文章导航[匿名凭证图文入门第二部分](https://blog.cryptographyengineering.com/2026/04/17/anonymous - credentials - an - illustrated - primer - part - 2/)关于 “聊聊加密推理” 的一条评论1. Anna Krokova 称密钥已泄露Opus 4.7 和 4.8 的训练块及其签名已被完全解密。
)
