数据库界的“罗塞塔石碑”？新研究揭示输入端重大安全隐患

本文为深度编译，仅供交流学习，不代表智子说观点

现代搜索与推荐系统所赖以运行的核心数据输入机制，曾长期被业界视为坚不可摧的安全堡垒。然而，康奈尔科技大学研究人员近期开发的一项创新算法，成功从编码数据集中提取出了包括姓名、医疗诊断记录及财务细节在内的敏感信息，这一发现对现有数据安全观念构成了重大挑战。

在当今的大型数据库检索机制中，编码器会将每一条文本、图像或录音转化为“嵌入向量”——即一组代表该信息的独特数值序列。康奈尔团队研发的名为vec2vec（向量对向量）的新算法，能够在完全不知晓原始数据内容或其具体编码方式的前提下，将这些看似杂乱无章的文本嵌入数据逆向“翻译”回可读的英文。此前，企业界普遍误认为这些嵌入向量本身即具备类似加密数据的安全性，而无需额外的保护措施。

“所有相关方都应将这些嵌入数据视为与底层文本具有同等敏感性的资产，”论文通讯作者、康奈尔大学安·鲍尔斯计算与信息科学学院及康奈尔科技学院计算机科学教授维塔利·什马季科夫郑重强调。

“将嵌入向量托付给第三方，在本质上等同于将原始数据本身托付于人。”

该研究团队在圣地亚哥举行的神经信息处理系统年会上，正式发表了题为《利用嵌入向量的通用几何特性》的研究报告，相关成果目前已发布于预印本服务器上。

嵌入数据库共同构成了现代搜索系统的输入数据编码图谱。然而，由于不同人工智能模型采用各异的编码方式，这些嵌入数据此前一直被认为是无法跨模型直接转换的“孤岛”。

vec2vec技术的突破之处在于，它能将源自不同模型的嵌入数据统一转换为一个通用的坐标系统——本质上，它为各类看似互不兼容的模型创建了一块“罗塞塔石碑”。正如历史上的罗塞塔石碑因同时刻有古希腊语、埃及象形文字和世俗体文字而成为解读古埃及文明的钥匙，

这一通用系统使得任何人都能够打破壁垒，实现模型间嵌入数据的自由转换。

更为关键的是，将嵌入向量转换为已知模型的格式后，研究人员可以近似地还原其原始含义。这直接引入了新的安全风险：一旦嵌入数据库遭泄露，攻击者有可能利用该技术部分恢复原始的输入内容。

为了验证这一理论风险，研究团队利用vec2vec算法对多个编码嵌入数据库进行了实测攻击。结果令人震惊：他们成功还原了推文的主题内容、从匿名化医院记录中提取出了具体的医疗状况，甚至复原了已倒闭的安然公司内部电子邮件的部分内容——其中包括敏感的姓名、日期及详细的财务信息。

尽管该算法目前尚无法做到逐字逐句的精确翻译，“存在一定的失真，”施马蒂科夫指出，“虽然无法完全复刻原文，但至少能精准把握核心内容。”在实验中，它不仅从邮件中还原了琐碎的午餐订单，更准确识别出了如“肺泡骨膜炎”这样高度专业的医学术语。

该研究的合著者、2025届博士约翰·莫里斯此前已证明，若知晓编码器生成嵌入向量的具体机制，便可据此还原原始含义。而另一位合著者、计算机科学博士生张柯林则进一步指出：“这项最新研究表明，

即使对编码器的内部运作一无所知，仅凭大量孤立的嵌入向量本身，也足以实现信息的逆向翻译。

”

这一发现或许能解释一个困扰业界已久的现象：当向多个由不同公司开发、使用不同训练数据的人工智能聊天机器人提出相同问题时，它们给出的回复往往表现出惊人的相似性。许多人工智能研究人员长期怀疑，驱动这些聊天机器人的所有大型语言模型，在深层可能共享着某种相同的底层结构——因为它们都在试图编码人类语言中的相同概念，本质上是在创建同一组概念嵌入向量的各自版本。

“所有这些看似不同的模型，都在某种程度上重新发明了相同的东西，”莫里斯表示，“我认为我们的研究为许多人的这一直觉提供了坚实的证据支持。”

共同作者、计算机科学博士生里希·贾指出，这项突破还具有令人兴奋的技术应用前景。例如，当某人拥有仅支持单一语言的编码器时，vec2vec技术可生成翻译方案使其支持多语言环境，甚至实现不同数据格式间的转换。

“文本编码器现在能优雅地对接图像或音频数据，实现跨模态的理解与生成，”贾解释道。

在理论层面，vec2vec甚至可能开启更为极端的翻译类型。目前，该研究团队正探索将鲸鱼的叫声转化为人类可理解文本的可能性。尽管莫里斯坦言这目前仅停留在理论构想阶段，但他充满期待地表示：“若能真正实现跨物种沟通，那将是我们这项工作最辉煌的成果。”

作者介绍

帕特里夏·沃德伦

作品声明：仅在头条发布，观点不代表平台立场