本文揭示了现代大语言模型（LLM）服务引擎中检索增强生成（RAG）和非前缀键值（KV）缓存融合机制存在的一类结构性安全漏洞。与以往需要严格线性前缀对齐的KV缓存侧信道攻击不同，本文发现基于分块感知内存调度的微架构机制会无意中泄露连续的“Step-Wave”时序信号。作者在此基础上提出了SpliceLeak，这是首个针对非前缀KV缓存融合的端到端侧信道攻击。SpliceLeak通过两个阶段实现隐私窃取：首先结构性地指纹识别隐藏私有提示的精确长度，然后通过操纵边界碰撞逐token提取精确语义内容。在结合vLLM和LMCache的生产级框架上评估表明，SpliceLeak在有限熵场景下可达100%的提取成功率，攻击仅需每个token约63次请求即可穿透连续批处理噪声。为缓解该漏洞，作者提出了SpliceDefense，一种包含量化分块填充（QCP）和恒定时间边界融合（CTBF）的双部缓解框架。实验证明SpliceDefense能有效消除侧信道信号（Delta TTFT ≈ 0），且吞吐量开销可忽略，同时保留了全局缓存共享的关键优势。本文的发现揭示了内存去重与安全性之间的根本冲突，对LLM安全研究具有重要参考价值。

本文研究了一种针对大语言模型的新型间接提示/内容注入攻击方式。传统的基于文本的防御假设恶意信号在文本视图中可见，但作者发现当恶意负载以结构化浮点参数形式传输，并仅在碎片化遥测中重建时，可以绕过文本检测器。具体来说，攻击者将恶意指令编码为浮点数数组（使用IEEE 754格式），通过结构化输入管道传递给LLM，LLM在解析时重建出原始文本，从而执行注入。作者在三个商业LLM API上进行了14400次攻击试验，测试了最新的双重文本分类器防御（Prompt Guard 2 + TF-IDF集成），发现浮点数组载体在最强防御下仍能达到94.3%的泄露成功率（ASR）。同时，针对微调的roberta-base检测器也观察到类似效果。作者强调，即使模型拒绝执行，下游系统可能对引用的标记做出反应，因此泄露ASR是关键指标。通过2x2消融实验，作者发现数据层存储和重建层碎片化共同作用才能绕过文本视图检测。文中提出了一种简单的xxd检测器和语义验证块可以阻止当前攻击实例，因此本文的贡献不在于提供不可检测的漏洞，而是揭示了在结构化输入管道中仅依赖文本检测的失败边界，尤其是当LLM暴露于重建的辅助通道时。适合安全研究人员、LLM服务提供商以及防御系统设计者阅读。