Программист создал стеганографию на основе LLM: прячет сообщения в обычном AI-тексте
Разработчик выпустил открытый инструмент, который прячет зашифрованные сообщения внутри текста, генерируемого языковой моделью. Вместо обычного сэмплирования токенов используется арифметическое кодирование, управляемое зашифрованными битами сообщения. Получатель с той же моделью и паролем может извлечь скрытый текст, но малейшее редактирование или перефразирование ломает расшифровку.
Показывает возможность обхода автоматического сканирования сообщений через LLM-стеганографию в контексте ужесточения надзора за коммуникациями. Открывает новую область исследований на стыке приватности, криптографии и генеративных моделей.
Когда даже AI-болтовня становится тайником
Разработчик под ником Nethical69 представил proof-of-concept инструмент Conversation Stenography — открытый CLI-инструмент для локального запуска, который прячет зашифрованные сообщения внутри текста, генерируемого языковой моделью.
Как это работает
Обычно LLM на каждом шаге генерации выбирает следующий токен из распределения вероятностей. Вместо этого инструмент использует арифметическое кодирование: зашифрованные биты полезной нагрузки управляют выбором токенов из того же распределения. Получатель с идентичной моделью, токенизатором, конфигурацией и общим секретом может воспроизвести распределения и извлечь скрытое сообщение.
Сообщение сжимается и шифруется с помощью AES-SIV, затем встраивается через выбор токенов. Результат выглядит как обычный AI-текст, но содержит скрытую информацию.
Зачем это нужно
Автор указывает на растущую тенденцию к сканированию сообщений: Instagram в мае убрал опциональное E2E-шифрование из DM, ЕС продлил добровольные правила сканирования CSAM до 2028 года, а обязательное клиентское сканирование всё ещё обсуждается. Стеганография на основе LLM — попытка обойти мониторинг, пряча данные в безобидном на вид тексте.
Ограничения
- Хрупкость: любое редактирование, автокоррекция, перевод или перефразирование ломают расшифровку — текст нужно копировать точно.
- Не доказана статистическая незаметность: пока неясно, может ли автоматика различить стего-текст от обычного вывода модели.
- Компромисс: между объёмом скрытых данных и качеством текста нужно выбирать.
Инструмент доступен на GitHub как эксперимент с открытым исходным кодом, но для реального использования требуется синхронизация моделей и параметров между отправителем и получателем.
Ключевые выводы
- Арифметическое кодирование позволяет управлять выбором токенов LLM через зашифрованные биты, превращая обычный AI-текст в носитель скрытых сообщений
- Стеганография на основе LLM — ответ на растущее сканирование сообщений платформами и регуляторами (Instagram, EU CSAM-правила)
- Метод крайне хрупок: малейшее изменение текста делает расшифровку невозможной, что ограничивает практическое применение
- Proof-of-concept не доказал статистическую незаметность — остаётся риск автоматического обнаружения стего-текстов
- Требуется точная синхронизация моделей, токенизаторов и секретов между отправителем и получателем
Автор: Сергей Ефимов · Источник: reddit.com
Это классный технический хак, но давайте честно: практическая польза пока стремится к нулю. Да, идея красивая — использовать вероятностные распределения LLM как канал для скрытой передачи данных. Но требование точного копирования текста без единой правки убивает всю затею в реальных мессенджерах, где автокоррекция, форматирование и даже смена шрифта — норма.
Другое дело — сама постановка вопроса. Автор прав: тренд на сканирование сообщений набирает обороты, и LLM-стеганография может стать полем боя между приватностью и надзором. Если кто-то доведёт метод до устойчивости к перефразированию (например, через семантическое кодирование), это реально изменит правила игры. Пока это POC для гиков и сигнал, что AI-текст перестаёт быть нейтральным — он может быть носителем.
Комментарии