VectorSmuggle: 임베딩 저장소에서의 스테가노그래피 유출 및 암호학적 출처 방어

현대의 검색 증강 생성 (RAG) 시스템은 민감한 콘텐츠를 고차원 임베딩 (embeddings)으로 변환하여, 결과물인 수치적 아티팩트 (numerical artifacts)를 불투명한 것으로 취급하는 벡터 데이터베이스 (vector databases)에 저장합니다. 주요 벡터 저장소 (vector-store) 제품들은 임베딩 무결성 (embedding integrity), 데이터 수집 시점의 분포 이상 탐지 (ingestion-time distributional anomaly detection), 또는 암호학적 출처 증명 (cryptographic provenance attestation)을 위한 네이티브 제어 기능을 제공하지 않습니다. 본 논문에서는 이것이 스테가노그래피 유출 (steganographic exfiltration) 공격의 한 부류를 허용함을 보여줍니다. 즉, 데이터 수집 파이프라인 (ingestion pipeline)에 쓰기 권한이 있는 공격자는 단순한 임베딩 후 섭동 (post-embedding perturbations; 노이즈 주입, 회전, 스케일링, 오프셋, 파편화 및 이들의 조합)을 사용하여 페이로드 (payload) 데이터를 임베딩 내부에 숨길 수 있으며, 동시에 RAG 시스템이 정당한 사용자에게 노출하는 표면적인 검색 동작 (retrieval behavior)을 보존할 수 있습니다. 우리는 text-embedding-3-large, 4개의 로컬 호스팅 오픈 임베딩 모델, BEIR NFCorpus 및 Quora 서브셋(총 26,000개 이상의 청크 결합)에 대한 교차 코퍼스 복제, 7개의 벡터 저장소 구성, 탐지기 평가를 위한 적응형 공격자 (adaptive-attacker) 변형, 그리고 의역된 쿼리 검색 벤치마크를 통해 합성 PII 코퍼스 상에서 이러한 기술들을 평가합니다. 분포 변화를 일으키는 섭동 (Distribution-shifting perturbations)은 단순한 이상 탐지기 (anomaly detectors)에 의해 종종 포착되지만, 작은 각도의 직교 회전 (small-angle orthogonal rotation)은 테스트된 모든 (모델, 코퍼스) 쌍에서 분포 기반 탐지 (distribution-based detection)를 무력화합니다. Disjoint-Givens 회전 인코더는 벡터당 closed-form 용량 상한선인 floor(d/2) * b 비트를 제공하지만, 실제 임베딩 매니폴드 (embedding manifolds)는 용량-탐지 가능성 간의 트레이드오프 (capacity-detectability trade-off)를 강제하며, 검색을 보존하는 동작 지점 (operating point)은 이보다 훨씬 아래에 위치합니다. 우리는 정준 바이트 표현 (canonical byte representation)에 대한 Ed25519 서명을 통해 각 임베딩을 소스 콘텐츠 및 생성 모델에 고정하는 암호학적 출처 프로토콜인 VectorPin을 제안합니다. 임베딩 후의 어떠한 수정도 서명 검증을 깨뜨립니다. 임베딩 수준의 무결성 (Embedding-level integrity)은 이 공격 부류를 차단할 수 있는 배포 가능하고 표준화 가능한 제어 수단입니다.