Мајкрософт откри напад „Whisper Leak“ што може да идентификува теми на разговор со вештачка интелигенција во енкриптиран сообраќај

Мајкрософт објави детали за нов тип на страничен напад (side-channel attack) насочен кон далечински јазични модели, кој би можел да му овозможи на пасивен напаѓач — кој има можност да го следи мрежниот сообраќај — да извлече информации за теми на разговор со моделот, и покрај тоа што комуникацијата е енкриптирана.

Компанијата предупреди дека ова истекување на податоци разменети помеѓу луѓето и јазичните модели кои работат во streaming режим може да претставува сериозен ризик за приватноста на корисниците и организациите. Нападот доби кодно име Whisper Leak („Шепот-протекување“).

„Сајбер-напад кој може да го следи енкриптираниот сообраќај — на пример, државен актер на ниво на интернет провајдер, некој на локалната мрежа или корисник поврзан на ист Wi-Fi рутер — би можел да утврди дали корисничкиот внес се однесува на одредена тема,“ изјавија истражувачите за безбедност Џонатан Бар Ор и Џеф Мекдоналд, заедно со Microsoft Defender Security Research Team.

Со други зборови, нападот му овозможува на напаѓачот да набљудува енкриптиран TLS сообраќај помеѓу корисник и LLM услуга, да извлече податоци за големина и временски интервали на пакетите, и потоа преку тренирани класификатори да утврди дали темата на разговорот припаѓа на некоја чувствителна категорија.

„Моделско стримирање“ кај големите јазични модели (LLMs) е техника што овозможува постепено примање на одговори додека моделот ги генерира, наместо да се чека целосниот резултат. Тоа е клучен механизам за повратна информација, бидејќи некои одговори бараат повеќе време во зависност од комплексноста на барањето.

Новата техника што ја демонстрираше Мајкрософт е значајна бидејќи функционира и покрај HTTPS енкрипцијата, која вообичаено обезбедува дека содржината на комуникацијата останува безбедна и непроменета.

Во последниве години се појавија повеќе странични напади врз LLM-ови, меѓу кои и техники за одредување на должината на поединечни зборови (tokens) врз основа на големината на енкриптираните пакети, како и искористување на временски разлики предизвикани од кеширање за да се изведе крадење на влезни податоци (познато како InputSnatch).

Whisper Leak се надоврзува на овие истражувања, истражувајќи ја можноста дека „секвенците на енкриптирани големини на пакети и интервали на нивно пристигнување за време на стримирањето содржат доволно информации за да се класифицира темата на почетниот внес,“ според Мајкрософт.

За да ја тестира оваа хипотеза, компанијата тренирала бинарен класификатор како доказ на концепт, способен да разликува одредена тема на внес од останатиот шум, користејќи три модели на машинско учење: LightGBM, Bi-LSTM и BERT.

Резултатите покажале дека моделите од Alibaba, DeepSeek, Mistral, Microsoft, OpenAI и xAI постигнуваат точност над 98%, што значи дека напаѓач кој следи случајни разговори со чат-ботови може сигурно да идентификува специфични теми. Моделите од Google и Amazon покажале поголема отпорност — веројатно поради token batching — но не се целосно имуни на нападот.

„Ако државна агенција или интернет провајдер го следи сообраќајот кон популарен чат-бот со вештачка интелигенција, тие би можеле сигурно да ги идентификуваат корисниците што поставуваат прашања за одредени чувствителни теми — како перење пари, политички несогласувања или други надгледувани теми — иако целиот сообраќај е енкриптиран,“ изјави Мајкрософт.

За да биде полошо, истражувачите откриле дека ефикасноста на Whisper Leak може да се зголеми како што напаѓачот собира повеќе тренирачки примероци со текот на времето, што го претвора во практична закана. По одговорното објавување, OpenAI, Mistral, Microsoft и xAI вовеле мерки за ублажување на ризикот.

„Во комбинација со понапредни модели на напади и побогати обрасци достапни во разговори со повеќе рунди или во повеќе разговори од истиот корисник, тоа значи дека сајбер-нападател со трпение и ресурси може да постигне повисоки стапки на успех отколку што покажуваат нашите првични резултати,“ додава извештајот.

Една ефективна мерка против напади, која ја предложиле OpenAI, Microsoft и Mistral, е додавање на „случајна низа текст со променлива должина“ на секој одговор, што го маскира фактот на должината на поединечните tokens и го прави страничниот напад неефикасен.

Мајкрософт исто така препорачува корисниците загрижени за нивната приватност при интеракција со AI чат-ботови да избегнуваат дискутирање на многу чувствителни теми кога користат ненадежни мрежи како јавен Wi-Fi, да користат VPN за дополнителен слој на заштита, да користат не-стриминг LLM модели, и да преминат на провајдери кои веќе имаат имплементирано мерки за ублажување.

Ова објавување се случува откако нова евалуација на осум отворени LLM модели од Alibaba (Qwen3-32B), DeepSeek (v3.1), Google (Gemma 3-1B-IT), Meta (Llama 3.3-70B-Instruct), Microsoft (Phi-4), Mistral (Large-2 aka Large-Instruct-2047), OpenAI (GPT-OSS-20b) и Zhipu AI (GLM 4.5-Air) покажала дека тие се многу ранливи на адверзијална манипулација, особено кога станува збор за напади со повеќе рунди.

„Овие резултати ја истакнуваат системската неспособност на тековните open-weight модели да одржат безбедносни механизми при подолги интеракции,“ изјавија истражувачите од Cisco AI Defense — Ејми Чанг, Николас Конли, Хариш Сантаналакшми Ганесан и Адам Сванда — во придружниот труд.

„Ние оценуваме дека стратегиите за усогласеност и приоритетите во лабораторијата значително влијаат на отпорноста: модели фокусирани на способност, како Llama 3.3 и Qwen 3, покажуваат поголема ранливост при повеќе рунди, додека дизајни ориентирани кон безбедност, како Google Gemma 3, покажуваат поизбалансирани перформанси.“

Овие откритија покажуваат дека организациите кои користат open-source модели можат да се соочат со оперативни ризици ако нема дополнителни безбедносни механизми, што ја зголемува количината на истражувања кои ја откриваат фундаменталната ранливост на LLM-овите и AI чат-ботовите од јавниот дебит на OpenAI ChatGPT во ноември 2022 година.

Ова ја нагласува потребата разработувачите да воведат соодветни безбедносни контроли при интеграција на овие способности во нивните работни процеси, да фино-тјунираат open-weight модели за поголема отпорност на jailbreak и други напади, да спроведуваат редовни AI red-teaming евалуации, и да имплементираат строги системски промптови усогласени со дефинирани случаи на употреба.

Извори:

• The Hacker News – Microsoft Uncovers ‘Whisper Leak’ Attack That Identifies AI Chat Topics in Encrypted Traffic The Hacker News