유사성에서 취약성으로: LLM 의미 캐싱의 키 충돌 공격

From Similarity to Vulnerability: Key Collision Attack on LLM Semantic Caching

의미 캐싱은 LLM 애플리케이션의 확장성을 높이는 핵심 기술로, AWS 및 Microsoft를 포함한 주요 제공업체에서 널리 채택되고 있습니다. 이 메커니즘은 의미적으로 유사한 쿼리에 대해 의미 임베딩 벡터를 캐시 키로 사용하여 지연 시간을 최소화하고 중복 계산을 줄입니다. 본 연구에서는 의미 캐시 키를 일종의 퍼지 해시로 간주합니다. 우리는 캐시 적중률을 극대화하기 위해 필요한 지역성이 충돌 방지에 필수적인 암호학적 눈사태 효과와 근본적으로 상충된다는 것을 보여줍니다. 우리의 개념적 분석은 성능(지역성)과 보안(충돌 복원력) 간의 이러한 본질적인 절충점을 공식화하며, 의미 캐싱이 본질적으로 키 충돌 공격에 취약하다는 것을 밝힙니다. 기존 연구가 사이드 채널 및 개인 정보 보호 위험에 초점을 맞춘 반면, 우리는 캐시 충돌로 인해 발생하는 무결성 위험에 대한 최초의 체계적인 연구를 제시합니다. 우리는 블랙박스 충돌 공격을 실행하기 위한 자동화된 프레임워크인 CacheAttack을 소개합니다. 우리는 CacheAttack을 보안이 중요한 작업 및 에이전트 워크플로우에서 평가했습니다. CacheAttack은 LLM 응답 가로채기에서 86%의 적중률을 달성하며, LLM 에이전트에서 악의적인 동작을 유발할 수 있으며, 다양한 임베딩 모델 간에 강력한 전달성을 유지합니다. 금융 에이전트에 대한 사례 연구는 이러한 취약점이 실제 세계에 미치는 영향을 더욱 보여줍니다. 마지막으로, 우리는 완화 전략에 대해 논의합니다.

Semantic caching has emerged as a pivotal technique for scaling LLM applications, widely adopted by major providers including AWS and Microsoft. By utilizing semantic embedding vectors as cache keys, this mechanism effectively minimizes latency and redundant computation for semantically similar queries. In this work, we conceptualize semantic cache keys as a form of fuzzy hashes. We demonstrate that the locality required to maximize cache hit rates fundamentally conflicts with the cryptographic avalanche effect necessary for collision resistance. Our conceptual analysis formalizes this inherent trade-off between performance (locality) and security (collision resilience), revealing that semantic caching is naturally vulnerable to key collision attacks. While prior research has focused on side-channel and privacy risks, we present the first systematic study of integrity risks arising from cache collisions. We introduce CacheAttack, an automated framework for launching black-box collision attacks. We evaluate CacheAttack in security-critical tasks and agentic workflows. It achieves a hit rate of 86\% in LLM response hijacking and can induce malicious behaviors in LLM agent, while preserving strong transferability across different embedding models. A case study on a financial agent further illustrates the real-world impact of these vulnerabilities. Finally, we discuss mitigation strategies.