幽默 a/ 藏了半天的原始思维链可被破解,加密极其薄弱

o.o 2026-07-15 19:09 1

刷到一个项目,其声称可以破解模型原始思维链(正常情况下,可见的思维链是经过小模型总结后的),支持 Opus 4.7、4.8 和 Sonnet 5,并且原作者说 Fable 5 的破解也有了进展。我测试了一下,图片贴在下面,确实有说法。


原理猜测是因为 Anthropic 和 OpenAI 的加密用的是全局单一密钥,不轮换,跨 session、跨账号都能 replay(Green,2026)。Green的实验甚至发现拿A账号的thinking blob塞进B账号的session里,模型照样能够读出里面的内容。这加密实在是一言难尽,感觉 vibe coding 都不会写出这么薄弱的加密


重点大概是,之前存的所有 session 的原始 CoT 理论上都可以被解密了,这下中转真的有心的话不敢想有多少可以拿来蒸馏的高质量数据。


使用例1


正常询问模型问题(节选):



原始思维链破解(节选):


例2


正常询问模型问题(节选):



原始思维链破解(节选):




可以看到原始思维链没有总结后的“高度概括”特性,是详细的思维过程。

a/被别人蒸个最终回复就已经够急了 这次真是自己没藏好又要被狠狠蒸馏了


相关技术文章(Matthew Green,约翰霍普金斯密码学教授):

最新回复 (2)
  • 羽织 07-15 22:56
    1

    你真的有看过你发的链接里的文章吗

    原文作者没有说他破解了思考签名

    只是说可以把思考签名给其他用户使用

    从而藏数据在思考过程里面


    实际上本身用下面例子就很简单了:


    用户输入1

    ai思维链1(藏有数据a)

    ai输出1


    现在可以把ai思维链发给其他人,然后构造一个对话:


    用户输入2

    ai思维链1(藏有数据a)

    ai输出2


    然后ai 2同样能看到数据a

    本身没什么风险


  • o.o 楼主 07-15 23:49
    2

    我没有说Green破解了签名啊,破解签名的是我刷到的项目(因为涉嫌推广且并没有开源这里不列出),Green的那篇原文我只是作为相关技术文章列出的。是Green发现了全局密钥+可replay的问题,那个项目声称可以完全解密,并且我也自定义了提示词(非内置例子,例2)并把具体效果截图呈现在了帖子中。


    以及,你说的:



    本身没什么风险



    也漏掉了 Green 文章里最重要的部分:侧信道攻击。Green通过提取0xA3各bit位的分布图,演示了通过reasoning token数量和响应时间,可以逐bit提取模型指令里的秘密。这完全不是没风险。他本人也在文章中说:


    这篇文章只是说明了“可能被泄漏”,我刷到的项目真的利用了这个漏洞制造了一个非常可能的泄漏。我承认措辞可能有些绝对,因为项目的技术并没有开源,我们无法验证,但这确实是最合理的一个推测。

* 帖子来源Linux.do
返回