A Microsoft feltárta a „Whisper Leak” hibát, amely titkosított mesterséges intelligencia-csevegéseket tár fel 28 LLM-nél

A módszer megkerüli a tartalombiztonsági adatok alakját és áthidalását. folyam.

A tokenről-tokenre generált LLM-válaszok egyedi adatcsomag-sorozatokat hoznak létre, amikor a felhasználóhoz továbbítják őket. Minden téma, a jogi elemzéstől a hétköznapi beszélgetésig, különböző szókincsekkel és mondatszerkezetekkel rendelkező szöveget generál. Ezek a nyelvi minták jellegzetes „digitális ujjlenyomatot” hoznak létre a hálózati forgalomban.

A csomagméretek és a beérkezési idők sorrendjét elemezve a kutatók osztályozókat építettek, hogy ezeket az ujjlenyomatokat nagy pontossággal felismerjék.

A projekt nyilvános eszközkészlete megerősíti ezt a módszert, amely gépi tanulási modelleket használ a különböző beszélgetéstípusok finom aláírásainak megtanulására. A forgalmi minták még kódolt tartalom esetén is elárulják a beszélgetés tárgyát.

Egy iparági hiba, amely 28 fő mesterséges intelligencia-modellt érint

A Whisper Leak nem elszigetelt hiba, hanem egy rendszerszintű sebezhetőség, amely az AI-ipar széles körét érinti. A Microsoft csapata 28 kereskedelmi forgalomban kapható LLM-et tesztelt, és azt találta, hogy a legtöbb nagyon fogékony.

Sok modell esetében a támadás közel tökéletes besorolást ért el. A kutatók egy blogbejegyzésben megjegyezték: „Ez azt mutatja, hogy az egyedi digitális „ujjlenyomatok”, amelyeket egy adott témáról folytatott beszélgetések hagynak, elég jól megkülönböztethetőek ahhoz, hogy mesterséges intelligenciával működő lehallgatóink megbízhatóan kivegyék őket egy ellenőrzött teszt során.”

Az érzékeny kommunikációhoz mesterséges intelligenciára támaszkodó vállalkozások számára az eredmények új és kihívást jelentő fenyegetést jelentenek. A kutatás riasztó pontosságot mutatott reális körülmények között.

A 10 000:1-hez viszonyított háttérzaj és a célzott beszélgetések arányával végzett szimuláció során a támadás 100%-os pontossággal azonosított kényes témákat a 28 modellből 17-nél, miközben az összes célbeszélgetés 5-20%-át továbbra is észlelte, mint kormányzati ügynökséget, szolgáltatót, átmenő hálózati szolgáltatót vagy szolgáltatót.

A nyilvános Wi-Fi hálózaton, megbízhatóan azonosíthatja a bizalmas jogi, pénzügyi vagy egészségügyi kérdésekről tárgyaló felhasználókat.

Ez a képesség a titkosított mesterséges intelligencia csevegéseit a célzott megfigyelés lehetséges forrásává varázsolja. Ahogy a kutatók kijelentik: „Ez az egész iparágra kiterjedő sebezhetőség jelentős kockázatot jelent az internetszolgáltatók, kormányzatok vagy helyi ellenfelek hálózati felügyelete alatt álló felhasználók számára.”

Szolgáltató-modell BERT LSTM LightGBM Legjobb mindkét méret Csak idő Csak mindkettő méret Csak idő Mindkettő csak idő Összességében mistral-nagy 98.1% 98.1%.9%.9 100,0% 64,3% 95,8% 96,0% 59,5% 100,0% microsoft-deepseek-r1 98,6% 98,9% 46,3% 99,9% 99,9% 61,0% 94,8% 95,8% 95,8%.9 xai-grok-3-mini-béta 99,1% 98,8% 73,0% 99,9% 99,9% 73,2% 97,2% 97,5% 74,9% 99,9% mistral-small 98,3% 97,6% 60,9% 99,9% 60,7%.9 94,1% 94,3% 61,3% 99,9% groq-llama-4-maverick 99,3% 99,2% 52,9% 99,6% 99,7% 56,4% 93,6% 94,2% 60,4% 99,7% 94,2% 60,4% 99,7% ek. 46,5% 99,3% 99,4% 62,5% 96,7% 96,9% 65,4% 99,4% alibaba-qwen2,5-plus 98,0% 97,7% 66,3% 99,1% 99,0% 99,1% 99,0% 7 99,1% 99,0% 7 99,4% 99,4% 63,1 99,1% xai-grok-2 99,0% 98,8% 66,9% 98,5% 98,7% 70,1% 93,2% 94,9% 72,9% 99,0% alibaba-qwen2,5-turbó 97,8% 91,5% 91,5% 7 A 97,8% 76,7% 98,2% 98,3% 75,4% 98,6% 98,6% 72,6% 98,6% deepseek-deepseek-v3-chat 98,3% 98,0% 58,6% 98,0% 58,6% 98,3% 9 58,6% 98,6% 7 98,6% 98.6. 60,6% 98,3% openai-gpt-4.1-mini 96,8% 96,6% 78,5% 97,3% 98,0% 77,6% 97,4% 97,3% 76,3% 98,0% lambda-láma-3%5,1-8b.8%5,1-8b.8 76,3% 97,8% 68,3% 91,9% 92,5% 59,6% 97,8% lambda-láma-3,1-405b 97,7% 97,5% 62,6% 93,2% 96,6% 66,9% 95,6% 7 95,6% 95,6 groq-láma-4-scout 97,6% 97,3% 60,3% 68,5% 70,0% 64,8% 89,0% 89,6% 57,4% 97,6% openai-gpt-4,1-nano 96,1% 96,8% 9.7.1% 75,5 % 96,2 % 96,4 % 77,1 % 97,1 % microsoft-gpt-4o-mini 93,4 % 93,2 % 77,8 % 88,5 % 81,3 % 81,8 % 91,3 % 91,5 % 77,2 % anthropic3. 76,8% 78,7% 91,2% 80,1% 80,0% 87,9% 74,5% 77,9% 91,2% microsoft-gpt-4.1-nano 89,5% 91,0% 84,0% 88,1% 82,4% 6,8% 85,4 80,5% 91,0% microsoft-gpt-4o 89,9% 90,1% 78,0% 87,2% 81,4% 83,0% 87,3% 87,9% 77,7% 90,1% microsoft-gpt-4,1-mini 89,4% 7 89,4% 7,9 80,4% 78,9% 86,6% 87,3% 76,0% 89,7% google-gemini-2.5-pro  77,1% 74,3% 78,1% 83,1% 76,3% 82,4% 84,0% 78,4% 84,0% 84,5% 8 google-gemini-1,5-flash 81,0% 76,2% 80,2% 82,4% 78,3% 81,6% 83,5% 81,6% 82,8% 83,5% google-gemini-1,5-flash-light 79,2% 79,4%7 79,4%7 74,6% 74,6% 79,0% 81,9% 77,8% 81,4% 81,9% amazon-nova-pro-v1 46,2% 57,9% 46,6% 77,5% 74,9% 57,3% 60,9% 60,6% 57,6% microsoft-instruct.57. 70,0% 70,0% 75,3% 75,3% 72,1% 76,9% 75,9% 72,5% 74,4% 76,9% amazon-nova-lite-v1 67,6% 68,3% 63,2% 71,2% 63,2% 71,2% 6.7% 7.8 65,5% 65,1% 71,2% Átlag 96,8% 96,8% 70,9% 93,2% 97,1% 71,8% 92,5% 93,3% 69,7% nan%

Támadási teljesítmény (AULMC) az L meghatározott szolgáltatók által meghatározott architektúra és a szolgáltató által meghatározott támadási modell szerint. A magasabb számok az oldalcsatornás támadás nagyobb hatékonyságának felelnek meg. A mérőszámok számítása 5 próba mediánjaként történik, ahol kísérletenként véletlenszerű felosztást hajtanak végre. A „Legjobb” oszlop egyben a használt modellek és szolgáltatáskészletek közül a legjobb 5 próbaverzió mediánja is. (Forrás: Microsoft)

Nehéz megoldás: Mérséklés és következetlen szállítói válaszok

A Microsoft 2025 júniusában felelősségteljes közzétételi folyamatba kezdett, értesítve mind a 28 érintett szolgáltatót. Novembertől kezdve a válaszok vegyesek voltak.

Miközben az olyan szolgáltatók, mint az OpenAI, a Microsoft, a Mistral és az xAI bejavították a hibát, a jelentés megjegyzi, hogy más gyártók elutasították a javítások bevezetését, vagy nem reagáltak rájuk.

Ez az incidens rávilágít arra, hogy az iparág aggasztó következetlensége van az AI által okozott új fenyegetések kezelésében. Ez azt követi, hogy a Google októberben megtagadta a Gemini modellek kritikus „ASCII-csempészet” hibájának kijavítását, amelyet inkább szociális tervezési problémának, mint biztonsági hibának minősített.

Ez egyúttal az Anthropic’s Claude legújabb adatszivárgási sebezhetőségét is tükrözi, ahol a vállalat kezdetben elutasította a jelentést, mielőtt a „hibafeldolgozó” kutatást elismerte volna. Johann Rehberger ebben az esetben megjegyezte:”a biztonság megvéd a balesetektől. A biztonság megvéd az ellenfelektől.”A különbségtétel kritikus fontosságú, mivel az AI-ügynökök autonómabbá válnak, és integrálódnak az érzékeny adatokkal.

A metaadatszivárgások kijavítása nem egyszerű. A kutatók számos enyhítést értékeltek, amelyek mindegyike jelentős kompromisszumokkal járt. Az egyes szolgáltatók által most már megvalósított véletlenszerű adatkitöltés zajt ad a csomagok méretéhez, de csak részben csökkenti a támadás sikerét.

Egy másik stratégia, a token kötegelés, több token csoportosítása, mielőtt elküldené őket, elfedve az egyedi mintákat. Habár nagyobb kötegméreteknél hatásos, ez ronthatja a chatbot valós idejű, reszponzív érzetét, befolyásolva a felhasználói élményt.

A harmadik lehetőség, a szintetikus „zaj” csomagok beszúrása, szintén elhomályosíthatja a forgalmi mintákat. Ez a megközelítés azonban megnöveli a sávszélességet, ami jelentős költségmegfontolás a szolgáltatók számára.

Az epizód azt mutatja, hogy ahogy a mesterséges intelligencia egyre jobban integrálódik az érzékeny munkafolyamatokba, a felhasználók adatainak védelme megköveteli, hogy a tartalom titkosításán túlmenően is megőrizzük a digitális kommunikáció mintáit.