加密推理大揭秘：重放、侧信道能否提取模型秘密？提供商该如何应对？

什么是加密推理？

Matthew Green 于 2026 年 5 月 29 日发布文章，分享业余项目。该项目与密码学关系不大，却让他对前沿大语言模型（LLM）API 和编码代理有诸多了解，还获 OpenAI “网络研究员” 认证。上周他设置 OpenClaw 代理，配置与 Claude 通信时收到错误提示，引发对 LLM “思考” 块签名的好奇。他花 20 小时、用约 500 万个 Codex 令牌尝试，学到了一些东西。大多数 LLM 提供商提供 API，Claude 的是 [Messages](https://platform.claude.com/docs/en/build-with-claude/working-with-messages) API，OpenAI 的是 [Responses](https://developers.openai.com/api/reference/responses/overview) API，能处理常规任务。推理型 LLM 会发送模型隐藏的 “推理” 或 “思考” 字段内容的加密副本，引出 “如何实现”“为什么”“那又怎样” 三个问题。“如何实现” 方面，数据以 JSON 形式发送，包含 Base64 编码内容块，不同提供商块内容有别，核心是随机字符串，像是认证密文。

那又怎样？

不透明加密块是否值得关注？最初答案似是否定的，但模型推理重要，加密保护或有充分理由。OpenAI 2024 年文章显示块可能含敏感信息，密码学保护使其难读取修改。有重放和侧信道两个探索方向，Matthew Green 测试后发现两种情况皆有可能。

我们能重放吗？可以。

直接篡改推理块会致 API 端点报错，重放未修改旧推理块可行，不同会话、账户甚至不同模型间（OpenAI）也有效。这表明提供商可能用全局密钥加密认证推理数据，存在安全问题。使用全局密钥有新威胁，应用程序要清理聊天输入。LLM 提供商接受重放块不代表模型实际 “看到” 数据，Matthew Green 实验发现不同模型处理方式有差异，加密块有 “语义活性”，但利用其做事不易。

我们能利用推理块来获取秘密吗？

重放推理块可能不行，但可利用元数据了解秘密。虽无法直接读取推理块，但能了解长度、令牌数等信息，可作为侧信道提取秘密数据，攻击者还可通过测量模型响应时间获取相似信号，推理本身可能泄露信息。

我们能利用这个侧信道提取平台秘密，例如模型的顶级机密系统提示吗？

发现侧信道后 Matthew Green 兴奋，想挖掘顶级机密指令提示，但 Codex 和 Claude Code 拒绝帮忙，他改用 Kimi 2.6 的 OpenCode。实验发现 GPT 5x 和 Claude 无系统提示却声称有，逼它们会编造提示，Kimi 2.6 会夸人但结果常错，Kimi 在编码和实验设计方面出色。他能提取特定应用程序秘密，无法提取模型提示，没勇气冲击公共网页界面，目前只能说 “有可能”，认为模型提供商应重视推理数据。

提供商可以做些什么？

Matthew Green 向 OpenAI 和 Anthropic 报告问题，OpenAI 称无法重现，Anthropic 认为无安全影响但可能修改文档提醒开发者。他认为提供商不应忽视问题，可 “改进密钥管理”，侧信道问题与模型工作方式相关，最好推理前应用策略门控，但有缺点。他庆幸自己只是密码学家，不用考虑这类问题。

相关标签

- [coding - agents](https://blog.cryptographyengineering.com/tag/coding - agents/)
- [Cryptography](https://blog.cryptographyengineering.com/tag/cryptography/)
- [frontier - llm - apis](https://blog.cryptographyengineering.com/tag/frontier - llm - apis/)

Matthew Green 是约翰霍普金斯大学的密码学家和教授，设计分析过多种密码系统，关注密码学促进用户隐私的方式。

发布时间：2026 年 5 月 29 日

文章导航：[匿名凭证：图文入门（第二部分）](https://blog.cryptographyengineering.com/2026/04/17/anonymous - credentials - an - illustrated - primer - part - 2/)

关于 “聊聊加密推理” 的一条评论：1. Anna Krokova 称密钥已泄露，Opus 4.7 和 4.8 的训练块及其签名已被完全解密。