该论文研究了大型语言模型（LLM）中的隐写术检测问题。作者首先指出，LLM可以通过微调将提示中的秘密编码到流畅、看似无害的输出中，从而构成隐写式数据外泄风险。现有的输出级隐写分析难以检测此类攻击，而最近的工作提出使用线性探针从内部激活中恢复秘密的机制检测方法。本文展示，这种防御可以被系统性规避，但通过针对性的数据级干预可以恢复可检测性。具体地，作者将检测设置扩展为包含非线性MLP探针，然后对五个基础模型（Qwen3-8B、Llama-3.1-8B、Ministral-8B、Qwen3-14B和Phi-4-14B）进行对抗性微调，植入隐写木马。结果显示，这些木马模型在保留58%–79%精确匹配秘密恢复能力的同时，成功规避了岭回归和保留的MLP探针，在六个基准测试上平均能力下降仅1%–8%。进一步，作者给出了规避的信息论特征：成功规避保持了可恢复性，但降低了秘密从内容对齐表示中的低阶可提取性，迫使有效载荷与剩余自由度产生协同交互。基于此，他们构建了一个重新情境化数据集，限制这些剩余自由度。在该分布上，岭回归和MLP探针的可检测性在所有五个规避木马中均得到恢复。总体而言，本研究表明基于激活的隐写检测易受自适应规避影响，但理论指导的评估分布可以暴露隐藏的有效载荷。该工作适合LLM安全研究人员、防御机制设计者及关注隐写术与对抗性攻击的学者阅读。

本文揭示了一个存在于当前主流大语言模型（LLM）推理栈中的隐写通道，该通道无需修改模型权重、采样代码或输出分布即可实现秘密通信。其核心原理是利用确定性解码过程中的伪随机数生成器（PRNG）在逆变换采样时产生的种子依赖性：PRNG根据种子生成一系列令牌级别的概率区间，这些区间可以从生成的文本中唯一重构。发送方在生成前将秘密消息编码为PRNG种子，接收方则通过穷举搜索种子空间，重构概率区间并恢复种子，从而提取隐藏载荷。文章形式化了两种操作模式：已知提示（prompt）模式下，双方共享提示，可实现精确区间重构和完美种子恢复（通过强制对齐）；未知提示模式下，仅能获得生成文本，但通过近似区间重构结合最大命中计数评分策略，仍能从足够长的输出中可靠恢复种子。作者在6个模型家族和5个异构文本域上进行了广泛实验：已知提示模式下，从完整的2^32候选空间中恢复32位种子，在300个令牌内、单GPU上35秒内可达100%准确率（因模型和文本域而异）；未知提示模式下，在600-800个令牌时恢复准确率接近完美，耗时约12秒。文章还分析了提示策略、分词歧义和采样超参数对通道可靠性的影响，并讨论了应用场景：一方面实现了32位隐写传输，另一方面证明忽略提示并非有效的安全假设。

这篇论文研究了一种跨模态分割载荷的视听隐写术，并评估了其对抗单模态与多模态隐写分析的效果。隐写术的目标是将秘密信息隐藏在普通媒体中，以隐藏通信的存在而非内容。传统的单模态隐写将载荷嵌入到单一载体（例如图像、音频或视频）中，但存在容量限制和容易被检测的问题。作者提出将秘密信息分割后分别嵌入到视频的音频流和视频流中，从而降低每个载体的嵌入负担，旨在提高隐蔽性。实验条件下，作者创建了同步和异步嵌入两种场景的视听样本，并测试了单模态（仅音频或仅视频）检测器以及多模态检测器的检测性能。结果表明，单模态检测器的检测率接近随机猜测，表明分割载荷能够有效规避单模态分析。而多模态检测器在初步测试中表现更佳，但进一步分析发现这种提升主要来自于视频流中的信号，而非真正的音频-视频联合特征。因此，作者强调，多模态检测器的评估需谨慎，以确保其学习到了跨模态的相关性而不是单一模态的伪影。总体而言，该研究表明分割载荷策略能增强隐写的抗检测性，但多模态检测方法仍有改进空间。该论文适合信息安全领域的研究人员，尤其是关注隐写术和隐写分析的学者阅读。

本文研究了一种针对大语言模型的新型间接提示/内容注入攻击方式。传统的基于文本的防御假设恶意信号在文本视图中可见，但作者发现当恶意负载以结构化浮点参数形式传输，并仅在碎片化遥测中重建时，可以绕过文本检测器。具体来说，攻击者将恶意指令编码为浮点数数组（使用IEEE 754格式），通过结构化输入管道传递给LLM，LLM在解析时重建出原始文本，从而执行注入。作者在三个商业LLM API上进行了14400次攻击试验，测试了最新的双重文本分类器防御（Prompt Guard 2 + TF-IDF集成），发现浮点数组载体在最强防御下仍能达到94.3%的泄露成功率（ASR）。同时，针对微调的roberta-base检测器也观察到类似效果。作者强调，即使模型拒绝执行，下游系统可能对引用的标记做出反应，因此泄露ASR是关键指标。通过2x2消融实验，作者发现数据层存储和重建层碎片化共同作用才能绕过文本视图检测。文中提出了一种简单的xxd检测器和语义验证块可以阻止当前攻击实例，因此本文的贡献不在于提供不可检测的漏洞，而是揭示了在结构化输入管道中仅依赖文本检测的失败边界，尤其是当LLM暴露于重建的辅助通道时。适合安全研究人员、LLM服务提供商以及防御系统设计者阅读。

该论文类比生物学中的物种起源，探讨了合成信息（如AI生成内容）的溯源问题。核心挑战在于：当代AI模型生成的“后代”数据可能在结构和信号层面与原始来源差异巨大，导致进化谱系难以追踪。受遗传学启发，作者提出一种基于隐写术的谱系追踪机制：在合成信息被生成（即“繁殖”）时，投影器从父本中提取一个特征（trait），并通过隐写编码器将该特征不可见地嵌入到子本中；该特征在子本的生命周期内持续存在。当需要查询亲子关系时，隐写解码器从子本中提取特征，并与候选父本的特征池进行比对，从而判定最可能的来源。理论分析刻画了系统参数（投影器与隐写系统属性）对系统发育准确性的影响，而跨多种投影器和隐写系统的实验表明，该方法在一系列处理操作和语义修改下仍具有可行性。作者展望了一个合成信息均携带隐蔽但可追踪谱系特征的网络生态系统，从而能够追溯信息的演化历程。

本文提出将集合塑造理论（Set Shaping Theory, SST）作为一种可逆的载荷整形层，用于基于最低有效位（LSB）的图像隐写术。该方法并非要取代现有的隐写嵌入方案，而是作为一个预处理阶段，使现有嵌入方法更容易应用且引入更低的统计扰动。SST变换通过增加K个符号来延长消息长度，并采用Glen Tankersley开发的快速近似变换算法实现。尽管嵌入载荷从N位增加到N+K位，但所选择的表示可以降低KL散度（D_KL(P||Q)），从而在基于直方图的检测标准下使后续的隐写插入更难被检测。在四种合成覆盖图像模型上的1800次受控模拟中，相对于公平的N+K LSB基线，SST平均将KL散度降低了25.16%，95%置信区间为±1.22%。当K=8时，平均降低达到42.81%。使用密钥随机嵌入路径的额外鲁棒性模拟证实了该效果在多种距离度量上的表现：K=8时，KL散度降低42.44%，Jensen-Shannon散度降低29.62%，总变差降低12.41%，对称卡方距离降低28.30%。此外，基于图像的矩阵嵌入/STC类模拟显示，SST还降低了最小加权插入成本：相对于未整形的K=0参考，K=8使成本降低了6.93%。

现代检索增强生成（RAG）系统将敏感内容转换为高维嵌入向量并存储在向量数据库中，这些数据库将产生的数值视为不透明数据。主流向量存储产品缺乏针对嵌入完整性、摄入时分布异常检测或加密来源证明的原生控制。本文揭示了一类隐写泄露攻击：拥有摄入管道写入权限的攻击者可以通过简单的后嵌入扰动（噪声注入、旋转、缩放、偏移、碎片化及其组合）将有效载荷数据隐藏在嵌入向量中，同时保持RAG系统向合法用户暴露的表面检索行为。作者在text-embedding-3-large、四个本地开源嵌入模型、跨语料库复制（BEIR NFCorpus和Quora子集，共超过26000个文本块）、七种向量存储配置、自适应攻击者检测评估以及释义查询检索基准上进行了评估。实验表明，分布偏移扰动常被简单异常检测器捕获；而小角度正交旋转能击败所有（模型，语料库）组合上的基于分布的检测。一种不相交Givens旋转编码器给出每个嵌入的闭式容量上限为floor(d/2)*b比特，但真实嵌入流形限制了容量-可检测性权衡，且保持检索的工作点远低于该上限。作者提出了VectorPin，一种加密来源协议，通过Ed25519签名将每个嵌入与其源内容和生成模型绑定，任何嵌入后的修改都会破坏签名验证。嵌入级完整性是一种可部署、可标准化的控制措施，能够封堵此类攻击。

该论文提出了SADBench，一个系统性的基准测试框架，旨在统一评估图像隐写攻击与隐写分析防御的能力。研究背景指出，图像隐写虽广泛用于隐私保护和隐蔽通信，但也可能被对手滥用作隐蔽通道，以绕过内容审核、传播有害语义，甚至在图像中隐藏恶意指令以诱导大模型产生危险输出。针对当前缺乏统一评估框架的问题，SADBench设计了4个核心任务：隐写攻击能力评估、隐写分析防御能力评估、效率评估和可迁移性评估。它同时评估了图像载荷和文本载荷隐写，涵盖多种封面分布，并利用有害视觉语义和有毒指令模拟恶意攻击。通过在大量攻击和检测器上的实验，SADBench揭示了以下关键发现：(i) INN（可逆神经网络）和基于自编码器的方法在稳定性上优于其他架构；(ii) 域内检测近乎完美且成本低于生成；(iii) 存在关键的可迁移性不对称性，即攻击能够稳健地泛化到新分布，而检测器无法适应；(iv) 现实世界威胁在社交媒体上持续存在，载荷要么在最小压缩下存活，要么通过模拟训练有效适应强压缩。总体而言，SADBench建立了一个可系统化、可复现、可扩展的框架来量化风险，为可测量且以安全为导向的隐写防御进步铺平道路。

该论文提出了一种名为Odysseus的新型越狱攻击范式，针对商业多模态大语言模型（MLLM）集成系统。当前的安全过滤器通常假设恶意内容必须在输入或输出中显式可见才能被检测，但多模态系统允许攻击者利用图像等多重模态隐藏恶意意图。Odysseus采用双重隐写术：首先将恶意查询（如生成有害内容的指令）通过隐写技术编码到看似正常的图像中，作为输入提交给MLLM；然后MLLM生成的响应同样通过隐写术隐藏在另一张图像中输出。整个攻击过程中，输入和输出的文本表面均无恶意内容，从而绕过基于显式文本检测的安全过滤器。实验在多个商业MLLM集成系统（如GPT-4V等）上进行，攻击成功率高达99%。该研究揭示了现有防御机制的根本盲点，即过度依赖单模态的显式内容审查，而忽视了跨模态隐写承载恶意信息的能力。论文呼吁重新设计多模态系统的安全架构，考虑跨模态一致性和隐写检测。

隐写术是一种将秘密信息隐藏在公开载体中的技术。生成式隐写术利用生成模型（如GAN）生成载体并嵌入秘密，但面临容量、效率和安全性的三难问题：传统方法往往牺牲其中一方。本文提出ANStega（Adversarial Network-based Steganography），通过设计一个对抗性训练框架，同时优化三个目标。该方法采用编码器-解码器架构，编码器将秘密信息映射为生成载体的隐空间扰动，解码器从扰动中恢复秘密；判别器确保载体与自然数据分布不可区分。实验表明，ANStega在保持高安全性的同时，实现了接近理论极限的嵌入容量和实时编码/解码效率。作者在多个数据集上验证了该方法在抵抗隐写分析方面的鲁棒性。论文主要贡献是首次系统性解决了生成式隐写术的三难问题，为实用化隐写系统提供了新范式。

随着数据密集型应用的扩展和数据量的增加，处理器与主存之间频繁传输大量数据导致的能耗增长和性能下降成为严峻挑战。同时，数据传输过程中的安全脆弱性也日益凸显。忆阻器计算内存阵列（CIM-A）架构通过将计算融入内存，减少了数据搬运，从而缓解了上述两个问题。本文将轻量级加密（为硬件受限设备设计）与CIM-A结合，以保障传输中数据的安全。论文基于状态材料蕴含（IMPLY）逻辑，为CIM实现了两种标准轻量级流密码——Trivium和Grain-128a。除重新设计密码结构外，作者提出了一种高效的数据移位方法，用于移位寄存器内部的数据移动，从而降低了传统基于IMPLY实现的硬件复杂度。应用该方法后，与常规实现相比，计算步骤减少，能耗分别降低高达42%和44%。最后，论文在图像隐写应用中评估了所提电路的性能，展示了其实用效率。