Microsoft ontdekt ‘Whisper Leak’-fout, waardoor gecodeerde AI-chats in 28 LLM’s zichtbaar worden

Microsoft-onderzoekers hebben een nieuwe zijkanaalaanval beschreven, genaamd’Whisper Leak’, die het onderwerp van gecodeerde AI-chats kan raden, waardoor een fundamenteel privacyrisico in de AI-industrie wordt blootgelegd.

In een rapport liet het team zien hoe patronen in de grootte en timing van netwerkverkeer kunnen onthullen wat gebruikers bespreken, zelfs met TLS-codering. De fout treft 28 grote AI-modellen, waardoor een ernstig privacyrisico ontstaat voor gebruikers over de hele wereld. Een waarnemer op een netwerk kan gevoelige gesprekken over juridische of gezondheidsonderwerpen opmerken.

Na een openbaarmakingsproces dat in juni begon, zijn grote providers zoals OpenAI en Microsoft begonnen met het implementeren van oplossingen, maar het probleem wijst op een kernrisico bij het streamen van AI.

Hoe Whisper Leak Afluistert gecodeerde AI-chats af

De vindingrijkheid van de aanval ligt in het vermogen om te werken zonder de onderliggende TLS-codering te verbreken die de online communicatie beschermt. In plaats daarvan maakt het gebruik van de metagegevens die encryptie inherent bloot laat.

Volgens de projectdocumentatie is”Whisper Leak een onderzoekstoolkit die aantoont hoe gecodeerde, streaming gesprekken met grote taalmodellen promptinformatie lekken via pakketgroottes en timing.”

De methode omzeilt de inhoudbeveiliging door zich te concentreren op de vorm en het ritme van de gegevensstroom.

LLM-reacties, token-voor-token gegenereerd, creëren unieke reeksen datapakketten wanneer naar een gebruiker gestreamd. Elk onderwerp, van juridische analyse tot informele gesprekken, genereert tekst met verschillende woordenschat en zinsstructuren. Deze taalpatronen produceren een karakteristieke “digitale vingerafdruk” in het netwerkverkeer.

Door reeksen pakketgroottes en inter-aankomsttijden te analyseren, bouwden de onderzoekers classifiers om deze vingerafdrukken met hoge nauwkeurigheid te herkennen.

De openbare toolkit van het project bevestigt deze methode, die machine learning-modellen gebruikt om de subtiele handtekeningen van verschillende gesprekstypen te leren. Zelfs bij gecodeerde inhoud verraden de verkeerspatronen het onderwerp van het gesprek.

Een branchebrede fout die 28 grote AI-modellen beïnvloedt

Whisper Leak is geen op zichzelf staande bug, maar een systemische kwetsbaarheid die een groot deel van de AI-industrie treft. Het Microsoft-team testte 28 in de handel verkrijgbare LLM’s en ontdekte dat de meerderheid zeer gevoelig was.

Voor veel modellen bereikte de aanval een vrijwel perfecte classificatie. Onderzoekers merkten in een blogpost op: “Dit vertelt ons dat de unieke digitale ‘vingerafdrukken’ die zijn achtergelaten door gesprekken over een specifiek onderwerp duidelijk genoeg zijn voor onze AI-aangedreven afluisteraar om ze betrouwbaar te kunnen onderscheiden in een gecontroleerde test.”

Voor bedrijven die afhankelijk zijn van AI voor gevoelige communicatie, vormen de bevindingen een nieuwe en uitdagende bedreigingsvector. Het onderzoek toonde alarmerende precisie aan onder realistische omstandigheden.

In een simulatie met een verhouding van achtergrondgeluid tot doelgesprekken van 10.000: 1, identificeerde de aanval gevoelige onderwerpen met 100% nauwkeurigheid voor 17 van de 28 modellen, terwijl nog steeds 5-20% van alle doelgesprekken werd gedetecteerd.

Een passieve netwerkvijand, zoals een ISP, overheidsinstantie of een aanvaller op een openbaar Wi-Fi-netwerk, zou dit kunnen doen identificeer op betrouwbare wijze gebruikers die vertrouwelijke juridische, financiële of gezondheidskwesties bespreken.

Deze mogelijkheid maakt van gecodeerde AI-chats een potentiële bron voor gerichte surveillance. Zoals de onderzoekers stellen:”Deze sectorbrede kwetsbaarheid brengt aanzienlijke risico’s met zich mee voor gebruikers die onder netwerktoezicht staan door ISP’s, overheden of lokale tegenstanders.”

Provider-model BERT LSTM LightGBM Beste Beide Alleen grootte Alleen Tijd Beide Alleen grootte Alleen Tijd Beide Alleen grootte Alleen Tijd Algemeen mistral-groot 98,8% 98,5% 53,1% 99,9% 100,0% 64,3% 95,8% 96,0% 59,5% 100,0% microsoft-deepseek-r1 98,6% 98,9% 46,3% 99,9% 99,9% 61,0% 94,8% 95,5% 56,8% 99,9% xai-grok-3-mini-bèta 99,1% 98,8% 73,0% 99,9% 99,9% 73,2% 97,2% 97,5% 74,9% 99,9% mistral-klein 98,3% 97,6% 60,7% 99,9% 99,8% 65,1% 94,1% 94,3% 61,3% 99,9% groq-llama-4-maverick 99,3% 99,2% 52,9% 99,6% 99,7% 56,4% 93,6% 94,2% 60,4% 99,7% deepseek-deepseek-r1 98,8% 98,6% 46,5% 99,3% 99,4% 62,5% 96,7% 96,9% 65,4% 99,4% alibaba-qwen2.5-plus 98,0% 97,7% 66,3% 99,1% 99,0% 63,5% 97,1% 97,3% 67,4% 99,1% xai-grok-2 99,0% 98,8% 66,9% 98,5% 98,7% 70,1% 93,2% 94,9% 72,9% 99,0% alibaba-qwen2.5-turbo 97,2% 96,8% 71,9% 97,5% 97,6% 71,8% 99,0% 98,9% 71,2% 99,0% openai-o1-mini 97,8% 98,0% 58,7% 98,9% 98,9% 62,1% 97,0% 96,9% 64,6% 98,9% openai-gpt-4o-mini 97,5% 97,8% 76,7% 98,2% 98,3% 75,4% 98,6% 98,6% 72,6% 98,6% deepseek-deepseek-v3-chat 98,3% 98,0% 58,6% 98,1% 98,1% 59,7% 97,6% 97,6% 60,6% 98,3% openai-gpt-4.1-mini 96,8% 96,6% 78,5% 97,3% 98,0% 77,6% 97,4% 97,3% 76,3% 98,0% lambda-lama-3.1-8b-instrueren 96,8% 97,5% 59,9% 76,3% 97,8% 68,3% 91,9% 92,5% 59,6% 97,8% lambda-lama-3.1-405b 97,7% 97,5% 62,6% 93,2% 96,6% 66,8% 95,5% 95,6% 62,0% 97,7% groq-lama-4-verkenner 97,6% 97,3% 60,3% 68,5% 70,0% 64,8% 89,0% 89,6% 57,4% 97,6% openai-gpt-4.1-nano 96,1% 96,8% 77,8% 97,1% 97,1% 75,5% 96,2% 96,4% 77,1% 97,1% microsoft-gpt-4o-mini 93,4% 93,2% 77,8% 88,5% 81,3% 81,8% 91,3% 91,5% 77,2% 93,4% antropische-claude-3-haiku 90,2% 76,8% 78,7% 91,2% 80,1% 80,0% 87,9% 74,5% 77,9% 91,2% microsoft-gpt-4.1-nano 89,5% 91,0% 84,0% 88,1% 82,4% 85,4% 86,6% 86,9% 80,5% 91,0% microsoft-gpt-4o 89,9% 90,1% 78,0% 87,2% 81,4% 83,0% 87,3% 87,9% 77,7% 90,1% microsoft-gpt-4.1-mini 89,7% 89,4% 75,4% 86,7% 80,4% 78,9% 86,6% 87,3% 76,0% 89,7% google-gemini-2.5-pro 77,1% 74,3% 78,1% 83,1% 76,3% 82,4% 84,0% 78,5% 83,4% 84,0% google-gemini-1.5-flash 81,0% 76,2% 80,2% 82,4% 78,3% 81,6% 83,5% 81,6% 82,8% 83,5% google-gemini-1.5-flitslamp 79,9% 74,6% 79,4% 79,7% 75,5% 79,0% 81,9% 77,8% 81,4% 81,9% amazon-nova-pro-v1 46,2% 57,9% 46,6% 77,5% 74,9% 57,3% 60,9% 60,6% 57,6% 77,5% microsoft-phi-3.5-mini-moe-instruct 70,0% 70,0% 75,3% 75,3% 72,1% 76,9% 75,9% 72,5% 74,4% 76,9% amazon-nova-lite-v1 67,6% 68,3% 63,2% 71,2% 70,5% 67,7% 65,8% 65,5% 65,1% 71,2% Gemiddeld 96,8% 96,8% 70,9% 93,2% 97,1% 71,8% 92,5% 93,3% 69,7% nan%

Aanvalsprestaties (AUPRC) voor doel-LLM’s die worden gehost door de gespecificeerde providers en functiesets en aanvalsmodelarchitectuur. Hogere cijfers komen overeen met een hogere effectiviteit van de zijkanaalaanval. Metrieken worden berekend als een mediaan over vijf onderzoeken, waarbij per proef een willekeurige verdeling wordt uitgevoerd. De kolom ‘Beste’ is ook de beste vijf proefmediaan van de gebruikte modellen en functiesets. (Bron: Microsoft)

Een moeilijke oplossing: mitigatie en inconsistente reacties van leveranciers

Microsoft begon in juni 2025 met een verantwoord openbaarmakingsproces, waarbij alle 28 betrokken providers op de hoogte werden gesteld. Vanaf november waren de reacties gemengd.

Terwijl providers als OpenAI, Microsoft, Mistral en xAI actie ondernamen om de fout te patchen, merkt het rapport op dat andere leveranciers hebben geweigerd oplossingen te implementeren of niet hebben gereageerd.

Dit incident benadrukt een verontrustende inconsistentie in de manier waarop de industrie omgaat met nieuwe, AI-native bedreigingen. Het volgt op de weigering van Google in oktober om een kritieke “ASCII-smokkel”-fout in zijn Gemini-modellen op te lossen, die het classificeerde als een social engineering-probleem in plaats van een beveiligingsbug.

Het weerspiegelt ook een recente kwetsbaarheid voor data-exfiltratie in Claude van Anthropic, waar het bedrijf het rapport aanvankelijk verwierp voordat het een “procesprobleem” erkende.

Zoals beveiligingsonderzoeker Johann Rehberger in dat geval opmerkte: “veiligheid beschermt je tegen ongelukken. Beveiliging beschermt je. van tegenstanders.”Het onderscheid is van cruciaal belang naarmate AI-agenten autonomer worden en worden geïntegreerd met gevoelige gegevens.

Het oplossen van metadatalekken is niet eenvoudig. De onderzoekers evalueerden verschillende maatregelen, elk met aanzienlijke compromissen. Willekeurige gegevensopvulling, die nu door sommige providers wordt geïmplementeerd, voegt ruis toe aan de pakketgrootte, maar vermindert slechts gedeeltelijk het succes van aanvallen.

Een andere strategie, token batching, groepeert meerdere tokens voordat ze worden verzonden, waardoor individuele patronen worden verdoezeld. Hoewel dit effectief is bij grotere batchgroottes, kan dit het realtime, responsieve gevoel van een chatbot verslechteren, waardoor de gebruikerservaring wordt beïnvloed.

Een derde optie, het injecteren van synthetische’ruis’-pakketten, kan ook verkeerspatronen verdoezelen. Deze aanpak verhoogt echter de bandbreedteoverhead, een aanzienlijke kostenoverweging voor providers.

De aflevering laat zien dat naarmate AI steeds meer geïntegreerd raakt in gevoelige workflows, het beschermen van de privacy van gebruikers vereist dat er verder wordt gekeken dan content-encryptie om de patronen van digitale communicatie te beveiligen