How Vulnerable Are Edge LLMs?

📄 arXiv: 2603.23822v1 📥 PDF

作者: Ao Ding, Hongzong Li, Zi Liang, Zhanpeng Shi, Shuxin Zhuang, Shiqin Tang, Rong Feng, Ping Lu

分类: cs.CR, cs.CL, cs.LG

发布日期: 2026-03-25

💡 一句话要点

CLIQ:针对量化边缘LLM的知识提取漏洞分析框架

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 边缘计算 大型语言模型 量化 知识提取 安全漏洞 查询攻击 模型安全

📋 核心要点

  1. 边缘部署的量化LLM面临知识提取的安全风险,现有方法难以有效防御。
  2. 论文提出CLIQ框架,通过聚类指令查询,提升语义覆盖并降低冗余,从而更有效地提取知识。
  3. 实验表明,CLIQ在量化的Qwen模型上优于原始查询,验证了其在有限预算下提取知识的有效性。

📝 摘要(中文)

大型语言模型(LLM)越来越多地部署在计算和量化约束严格的边缘设备上,但其安全性影响尚不清楚。本文研究了在实际查询预算下,从量化的边缘部署LLM中进行基于查询的知识提取。研究表明,虽然量化引入了噪声,但它并没有消除潜在的语义知识,通过精心设计的查询可以实现显著的行为恢复。为了系统地分析这种风险,本文提出了一种结构化的查询构建框架 extbf{CLIQ}( extbf{Cl}ustered extbf{I}nstruction extbf{Q}uerying),该框架提高了语义覆盖率,同时减少了冗余。在量化的Qwen模型(INT8/INT4)上的实验表明,在BERTScore、BLEU和ROUGE指标上,CLIQ始终优于原始查询,从而能够在有限的预算下更有效地进行提取。这些结果表明,仅靠量化并不能提供有效的保护来防御基于查询的提取,突出了边缘部署LLM中先前未被充分研究的安全风险。

🔬 方法详解

问题定义:论文旨在研究边缘部署的量化LLM在面对基于查询的知识提取攻击时的脆弱性。现有方法,如单纯的量化,并不能有效阻止攻击者从模型中提取知识,因为量化虽然引入噪声,但无法完全消除模型中蕴含的语义信息。因此,如何系统性地评估和缓解这种安全风险是一个关键问题。

核心思路:论文的核心思路是通过精心设计的查询策略,即使在量化引入噪声的情况下,也能有效地从边缘LLM中提取知识。CLIQ框架通过聚类指令查询,旨在最大化查询的语义覆盖范围,同时减少冗余,从而在有限的查询预算下实现更高效的知识提取。

技术框架:CLIQ框架包含以下主要阶段:1) 指令生成:生成多样化的指令集,覆盖不同的语义范围。2) 指令聚类:使用聚类算法(具体算法未知)将指令集划分为不同的簇,每个簇代表一个特定的语义主题。3) 查询构建:从每个簇中选择最具代表性的指令,构建最终的查询集。这种聚类方法旨在提高查询的语义覆盖率,同时减少冗余,从而提高知识提取的效率。

关键创新:CLIQ的关键创新在于其结构化的查询构建方法,它通过聚类指令来提高语义覆盖率并减少冗余。与传统的随机查询或人工设计的查询相比,CLIQ能够更系统、更有效地探索模型的知识空间,从而在有限的查询预算下实现更好的知识提取效果。

关键设计:论文中关于聚类算法的具体选择、指令代表性的度量方式、以及如何平衡语义覆盖率和查询冗余度等关键设计细节没有详细说明。这些细节对于CLIQ的实际性能至关重要,需要在未来的研究中进一步探索和优化。损失函数和网络结构等信息未提及。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,CLIQ在量化的Qwen模型(INT8/INT4)上,通过精心设计的聚类查询,在BERTScore、BLEU和ROUGE等指标上始终优于原始查询。这表明CLIQ能够在有限的查询预算下更有效地提取知识,突显了量化防御的局限性,并验证了CLIQ框架的有效性。

🎯 应用场景

该研究成果可应用于评估和提升边缘部署LLM的安全性,例如智能家居设备、自动驾驶系统等。通过CLIQ框架,可以更全面地评估量化等防御手段的有效性,并指导开发更鲁棒的边缘LLM安全防护机制,防止敏感信息泄露和恶意利用。

📄 摘要(原文)

Large language models (LLMs) are increasingly deployed on edge devices under strict computation and quantization constraints, yet their security implications remain unclear. We study query-based knowledge extraction from quantized edge-deployed LLMs under realistic query budgets and show that, although quantization introduces noise, it does not remove the underlying semantic knowledge, allowing substantial behavioral recovery through carefully designed queries. To systematically analyze this risk, we propose \textbf{CLIQ} (\textbf{Cl}ustered \textbf{I}nstruction \textbf{Q}uerying), a structured query construction framework that improves semantic coverage while reducing redundancy. Experiments on quantized Qwen models (INT8/INT4) demonstrate that CLIQ consistently outperforms original queries across BERTScore, BLEU, and ROUGE, enabling more efficient extraction under limited budgets. These results indicate that quantization alone does not provide effective protection against query-based extraction, highlighting a previously underexplored security risk in edge-deployed LLMs.