无需修改的隐写术：通过LLM种子实现的隐蔽通信

核心发现：研究揭示一种利用LLM推理栈固有特性的隐写信道，通过PRNG种子编码秘密信息，接收方可从生成文本重建概率区间并恢复种子。已知提示设置下，300 token内可实现100%恢复率。该信道无需修改模型权重、采样代码或输出分布，即使标准LLM服务也可能被用于隐蔽通信。

原作者与来源

• 原作者：论文研究团队
• 来源平台：arXiv
• 原文标题：Steganography Without Modification: Hidden Communication via LLM Seeds
• 原文链接：http://arxiv.org/abs/2606.09135v1
• 发布时间：2026年6月8日

安全警示

广泛部署的LLM推理栈存在固有隐写信道，无需修改模型权重、采样代码或输出分布即可利用，意味着标准LLM服务可能被用于隐蔽通信。

核心原理

利用确定性解码的结构性特征：逆变换采样中PRNG产生的token级概率区间序列依赖种子，且可从生成文本重建。

编码解码流程

• 发送方：将秘密信息编码到PRNG种子，用该种子标准采样生成文本。
• 接收方：从文本重建概率区间，穷举种子空间恢复种子提取隐藏载荷。

两种操作模式

• 已知提示：双方共享提示，接收方可精确重建区间，强制对齐实现完美恢复。
• 未知提示：仅用生成文本，通过近似区间重建+最大命中次数评分恢复种子。

实验结果

• 已知提示：6种模型家族、5个文本领域测试，32位种子从2^32候选空间恢复，300 token内100%准确率，单GPU耗时<35秒。
• 未知提示：600-800 token时恢复准确率接近完美，耗时约12秒。

影响因素

• 提示策略：影响概率分布与重建精度
• 分词歧义：引入噪声
• 采样超参数（温度、top-p）：影响信道容量与可靠性

1. 32位信息的隐写传输可行，足以传递关键指令、密钥等敏感数据。
2. “不知道提示”不是有效安全假设，即使无原始提示仍可提取隐藏信息。
3. LLM基础组件（如PRNG）可能成为安全攻击载体。

针对该隐写信道的缓解方案：

• 使用不可预测的随机种子源
• 在推理服务中添加随机噪声
• 监控异常的生成模式
• 敏感应用采用安全加固的推理栈

对LLM服务提供商

需在系统设计阶段考虑隐写抵抗能力。

对安全研究人员

开辟新方向：设计和评估对隐写有抵抗力的生成模型。

该研究不仅是安全漏洞报告，更是对LLM系统安全边界的深刻审视。