文本嵌入並非安全：Vec2Text 可完美還原原始文本

隨著生成式AI的快速發展，許多公司開始將AI整合到其業務中，其中一個常見做法是構建能夠回答資料庫中文件相關問題的AI系統。這類系統大多基於檢索增強生成（RAG）技術。RAG系統透過將大量文件儲存在資料庫中，由AI檢索與輸入最相關的文件，並據此生成響應。為了確定文件的相關性，RAG使用“嵌入”——由嵌入模型生成的文件向量表示。這些嵌入旨在表示某種相似性，因此相關文件在嵌入空間中會具有較高的向量相似性。RAG的普及催生了向量資料庫的興起，這是一種專門用於儲存和搜尋大量嵌入的新型資料庫。眾多創業公司獲得了數億美元的融資，聲稱能夠透過簡化嵌入搜尋來促進RAG。然而，嵌入向量本身難以解讀：它們只是一串看似隨機的數字，除了滿足語義相似性要求外，沒有任何約束。這就引發了一個安全問題：如果有人入侵資料庫獲取了這些嵌入向量，是否能夠將其還原為原始文本？事實上，這個問題正是我們在論文《Text Embeddings Reveal As Much as Text》（EMNLP 2023）中所要解決的。我們開發了vec2text方法，該方法能夠從文本嵌入中恢復原始文本。其核心思想是：利用一個校正器模型，以目標嵌入和當前假設文本的嵌入作為輸入，透過迭代最佳化逐步逼近原始文本。我們首先嚐試了傳統的機器學習方法，訓練一個變換器模型直接從嵌入生成文本，但BLEU得分只有30左右，精確匹配幾乎為零。然而，我們發現生成的文本的嵌入與真實嵌入的餘弦相似度高達0.97，這啟發了一種迭代最佳化方法。我們訓練了一個校正器，能夠根據當前假設文本及其嵌入生成更接近真實文本的新假設。經過50步迭代和若干技巧，vec2text能夠以92%的精確匹配率還原32 token的序列，BLEU得分達到97，幾乎實現了完美還原。這一發現對當前基於嵌入的資料儲存方式提出了嚴峻挑戰。在向量資料庫中，儲存的是嵌入向量而非原始文本，但如果這些嵌入能被輕易反解，那麼客戶隱私和資料安全將面臨巨大風險。未來，我們需要開發能夠抵抗這種反解攻擊的嵌入模型，同時保持嵌入的可用性。此外，vec2text的方法不限於文本，理論上可推廣到其他模態，如影像嵌入的反向還原。作者Jack Morris是康奈爾理工學院的博士生，其研究聚焦於機器學習、自然語言處理與安全的交叉領域。程式碼已開源在GitHub上，供進一步研究。