向量数据库(Vector DB)在某些条件下可能容易受到合法数据推理攻击。这些攻击利用数据存储、索引或查询方式中的模式,无需直接访问原始数据即可推断敏感信息。虽然向量数据库旨在高效处理高维嵌入,但它们对相似性搜索和索引结构的依赖可能会无意中暴露数据中的统计关系。例如,重复查询或最近邻结果分析可能会揭示与用户行为、人口统计或偏好等私有属性相关的聚类或模式。合法推理攻击不违反访问控制,而是利用合法的查询机制间接推导信息。
一个实际例子涉及医疗保健数据。假设一个向量数据库将根据病史派生的嵌入存储为患者记录。具有查询访问权限的攻击者可以搜索与已知患者嵌入相似的向量(例如,“找到与患者 X 最相似的患者”)。随着时间的推移,重复查询可能会揭示患者 X 的聚类与某种罕见疾病相关,即使原始向量中未存储明确的诊断信息,也会暴露其病情。同样,在推荐系统中,查询用户偏好的物品嵌入可能会通过返回结果的模式无意中暴露其政治观点或购买习惯。这些风险源于嵌入的数学特性,它们以对手可以逆向工程的方式保留语义关系。
缓解这些风险需要技术保障措施。差分隐私等技术可以向查询结果或嵌入中添加噪声,以模糊敏感模式。访问控制应限制查询频率,并限制结果的粒度(例如,返回聚合相似度而非精确匹配)。此外,监控查询日志中的异常模式(例如,对特定聚类的重复探测)有助于检测推理尝试。开发者在模型训练期间还应评估嵌入是否无意中编码了敏感属性,因为这会增加推理风险。虽然向量数据库并非独特易受攻击,但其为快速相似性搜索而设计创造了需要积极防御的攻击面。