Microsoft odkrywa lukę związaną z „wyciekiem szeptów”, ujawniając zaszyfrowane czaty AI w 28 LLM

Badacze firmy Microsoft szczegółowo opisali nowy atak typu side-channel o nazwie „Whisper Leak”, który może odgadnąć temat zaszyfrowanych czatów AI, odsłaniając podstawowe ryzyko prywatności w branży sztucznej inteligencji.

W raporcie zespół pokazał, jak wzorce wielkości i czasu ruchu sieciowego mogą ujawnić, o czym dyskutują użytkownicy, nawet przy szyfrowaniu TLS. Luka dotyczy 28 głównych modeli sztucznej inteligencji, stwarzając poważne zagrożenie dla prywatności użytkowników na całym świecie. Obserwator w sieci może wykryć drażliwe rozmowy na tematy prawne lub zdrowotne.

Po procesie ujawniania informacji, który rozpoczął się w czerwcu, główni dostawcy, tacy jak OpenAI i Microsoft, zaczęli wdrażać poprawki, ale problem wskazuje na podstawowe ryzyko związane ze strumieniową sztuczną inteligencją.

Jak Whisper Leak podsłuchuje zaszyfrowane czaty AI

Genialność ataku polega na jego zdolności do działania bez łamania podstawowego szyfrowania TLS, które chroni komunikację online. Zamiast tego wykorzystuje metadane, które szyfrowanie zwykle naraża na ryzyko.

Zgodnie z dokumentacją projektu „Whisper Leak to zestaw narzędzi badawczych, który demonstruje, w jaki sposób zaszyfrowane konwersacje przesyłane strumieniowo z modelami wielkojęzykowymi powodują wyciek szybkich informacji poprzez rozmiary pakietów i czas.”

Metoda ta omija bezpieczeństwo treści, skupiając się na kształcie i rytmie przepływu danych.

Odpowiedzi LLM, generowane token po tokenie, tworzą unikalne sekwencje pakiety danych przesyłane strumieniowo do użytkownika. Każdy temat, od analizy prawnej po swobodną rozmowę, generuje tekst z odrębnym słownictwem i strukturami zdań. Te wzorce językowe tworzą charakterystyczny „cyfrowy odcisk palca” w ruchu sieciowym.

Analizując sekwencje rozmiarów pakietów i czasów między przybyciem, badacze zbudowali klasyfikatory umożliwiające rozpoznawanie tych odcisków palców z dużą dokładnością.

Publiczność projektu Toolkit potwierdza tę metodę, która wykorzystuje modele uczenia maszynowego do uczenia się subtelnych sygnatur różnych typów konwersacji. Nawet w przypadku zaszyfrowanej treści wzorce ruchu zdradzają temat rozmowy.

Błąda występująca w całej branży, wpływająca na 28 głównych modeli sztucznej inteligencji

Wyciek Whisper nie jest odosobnionym błędem, ale luką systemową wpływającą na szeroką gamę branży sztucznej inteligencji. Zespół Microsoftu przetestował 28 dostępnych na rynku LLM i stwierdził, że większość z nich była wysoce podatna.

W przypadku wielu modeli atak został sklasyfikowany niemal idealnie. Badacze zauważyli w poście na blogu: „To mówi nam, że unikalne cyfrowe „odciski palców” pozostawione przez rozmowy na określony temat są na tyle wyraźne, że nasz podsłuchiwacz wykorzystujący sztuczną inteligencję może je niezawodnie wykryć w kontrolowanym teście”.

Dla przedsiębiorstw polegających na sztucznej inteligencji w zakresie poufnej komunikacji odkrycia stanowią nowy i trudny wektor zagrożeń. Badanie wykazało alarmującą precyzję w realistycznych warunkach.

W symulacji ze stosunkiem szumu tła do rozmów docelowych wynoszącym 10 000 do 1 atak zidentyfikował drażliwe tematy ze 100% precyzją w 17 z 28 modeli, jednocześnie wykrywając 5–20% wszystkich docelowych rozmów.

Pasywny przeciwnik sieciowy, taki jak dostawca usług internetowych, agencja rządowa lub osoba atakująca publiczną sieć Wi-Fi, mogłaby niezawodnie identyfikuj użytkowników omawiających poufne kwestie prawne, finansowe lub zdrowotne.

Ta funkcja zamienia zaszyfrowane czaty AI w potencjalne źródło ukierunkowanego nadzoru. Jak stwierdzają badacze: „Ta luka występująca w całej branży stwarza poważne ryzyko dla użytkowników znajdujących się pod nadzorem sieci przez dostawców usług internetowych, rządy lub lokalnych przeciwników.”

Model dostawcy BERT LSTM LightGBM Najlepszy Obydwa Tylko rozmiar Tylko czas Obydwa Tylko rozmiar Tylko czas Obydwa Tylko rozmiar Tylko czas Ogółem mistral-large 98,8% 98,5% 53,1% 99,9% 100,0% 64,3% 95,8% 96,0% 59,5% 100,0% microsoft-deepseek-r1 98,6% 98,9% 46,3% 99,9% 99,9% 61,0% 94,8% 95,5% 56,8% 99,9% xai-grok-3-mini-beta 99,1% 98,8% 73,0% 99,9% 99,9% 73,2% 97,2% 97,5% 74,9% 99,9% mistral-mały 98,3% 97,6% 60,7% 99,9% 99,8% 65,1% 94,1% 94,3% 61,3% 99,9% groq-llama-4-maverick 99,3% 99,2% 52,9% 99,6% 99,7% 56,4% 93,6% 94,2% 60,4% 99,7% deepseek-deepseek-r1 98,8% 98,6% 46,5% 99,3% 99,4% 62,5% 96,7% 96,9% 65,4% 99,4% alibaba-qwen2.5-plus 98,0% 97,7% 66,3% 99,1% 99,0% 63,5% 97,1% 97,3% 67,4% 99,1% xai-grok-2 99,0% 98,8% 66,9% 98,5% 98,7% 70,1% 93,2% 94,9% 72,9% 99,0% alibaba-qwen2.5-turbo 97,2% 96,8% 71,9% 97,5% 97,6% 71,8% 99,0% 98,9% 71,2% 99,0% openai-o1-mini 97,8% 98,0% 58,7% 98,9% 98,9% 62,1% 97,0% 96,9% 64,6% 98,9% openai-gpt-4o-mini 97,5% 97,8% 76,7% 98,2% 98,3% 75,4% 98,6% 98,6% 72,6% 98,6% deepseek-deepseek-v3-czat 98,3% 98,0% 58,6% 98,1% 98,1% 59,7% 97,6% 97,6% 60,6% 98,3% openai-gpt-4.1-mini 96,8% 96,6% 78,5% 97,3% 98,0% 77,6% 97,4% 97,3% 76,3% 98,0% lambda-llama-3.1-8b-instrukcja 96,8% 97,5% 59,9% 76,3% 97,8% 68,3% 91,9% 92,5% 59,6% 97,8% lambda-llama-3.1-405b 97,7% 97,5% 62,6% 93,2% 96,6% 66,8% 95,5% 95,6% 62,0% 97,7% groq-llama-4-scout 97,6% 97,3% 60,3% 68,5% 70,0% 64,8% 89,0% 89,6% 57,4% 97,6% openai-gpt-4.1-nano 96,1% 96,8% 77,8% 97,1% 97,1% 75,5% 96,2% 96,4% 77,1% 97,1% microsoft-gpt-4o-mini 93,4% 93,2% 77,8% 88,5% 81,3% 81,8% 91,3% 91,5% 77,2% 93,4% anthropic-claude-3-haiku 90,2% 76,8% 78,7% 91,2% 80,1% 80,0% 87,9% 74,5% 77,9% 91,2% microsoft-gpt-4.1-nano 89,5% 91,0% 84,0% 88,1% 82,4% 85,4% 86,6% 86,9% 80,5% 91,0% microsoft-gpt-4o 89,9% 90,1% 78,0% 87,2% 81,4% 83,0% 87,3% 87,9% 77,7% 90,1% microsoft-gpt-4.1-mini 89,7% 89,4% 75,4% 86,7% 80,4% 78,9% 86,6% 87,3% 76,0% 89,7% google-gemini-2.5-pro  77,1% 74,3% 78,1% 83,1% 76,3% 82,4% 84,0% 78,5% 83,4% 84,0% google-gemini-1.5-flash 81,0% 76,2% 80,2% 82,4% 78,3% 81,6% 83,5% 81,6% 82,8% 83,5% google-gemini-1,5-flash-light 79,9% 74,6% 79,4% 79,7% 75,5% 79,0% 81,9% 77,8% 81,4% 81,9% amazon-nova-pro-v1 46,2% 57,9% 46,6% 77,5% 74,9% 57,3% 60,9% 60,6% 57,6% 77,5% microsoft-phi-3.5-mini-moe-instruct 70,0% 70,0% 75,3% 75,3% 72,1% 76,9% 75,9% 72,5% 74,4% 76,9% amazon-nova-lite-v1 67,6% 68,3% 63,2% 71,2% 70,5% 67,7% 65,8% 65,5% 65,1% 71,2% Średnia 96,8% 96,8% 70,9% 93,2% 97,1% 71,8% 92,5% 93,3% 69,7% nan%

Wydajność ataku (AUPRC) w docelowych LLM hostowanych przez określonych dostawców oraz zestawy funkcji i architektura modelu ataku. Wyższe liczby odpowiadają wyższej skuteczności ataku z kanału bocznego. Metryki oblicza się jako medianę z 5 prób, przy czym dla każdej próby przeprowadza się losowy podział. Kolumna „Najlepsza” to także mediana pięciu najlepszych prób z zastosowanych modeli i zestawów funkcji. (Źródło: Microsoft)

Trudne rozwiązanie: środki łagodzące i niespójne reakcje dostawców

Microsoft rozpoczął proces odpowiedzialnego ujawniania informacji w czerwcu 2025 r., powiadamiając wszystkich 28 dostawców, których to dotyczy. Według stanu na listopad reakcje były zróżnicowane.

Chociaż dostawcy tacy jak OpenAI, Microsoft, Mistral i xAI zaczęli łatać tę lukę, w raporcie zauważono, że inni dostawcy odmówili wdrożenia poprawek lub w dalszym ciągu nie reagowali.

Ten incydent uwydatnia niepokojącą niespójność w sposobie, w jaki branża radzi sobie z nowatorskimi zagrożeniami natywnymi dla sztucznej inteligencji. Jest to następstwem październikowej odmowy Google naprawienia krytycznej wady związanej z przemytem ASCII w swoich modelach Gemini, którą sklasyfikowano jako problem socjotechniczny, a nie błąd bezpieczeństwa.

Nawiązuje to również do niedawnej luki w zabezpieczeniach związanej z wyciekiem danych w firmie Anthropic Claude, gdzie firma początkowo odrzuciła zgłoszenie, zanim przyznała się do „czkawki w procesie”.

Jak zauważył w tym przypadku badacz bezpieczeństwa Johann Rehberger, „bezpieczeństwo chroni cię”. przed wypadkami Bezpieczeństwo chroni Cię przed przeciwnikami.” To rozróżnienie ma kluczowe znaczenie, ponieważ agenci sztucznej inteligencji stają się bardziej autonomiczni i zintegrowani z wrażliwymi danymi.

Naprawianie wycieków metadanych nie jest proste. Naukowcy ocenili kilka rozwiązań łagodzących, a każde z nich wiązało się ze znaczącymi kompromisami. Losowe dopełnianie danych, obecnie wdrażane przez niektórych dostawców, zwiększa szum w rozmiarach pakietów, ale tylko częściowo zmniejsza skuteczność ataku.

Inna strategia, grupowanie tokenów, grupuje wiele tokenów przed ich wysłaniem, zasłaniając indywidualne wzorce. Chociaż jest to skuteczne w przypadku większych partii, może pogorszyć działanie chatbota działającego w czasie rzeczywistym, wpływając na wygodę użytkownika.

Trzecia opcja, wstrzykiwanie syntetycznych pakietów „szumu”, może również zaciemniać wzorce ruchu. Takie podejście zwiększa jednak narzut przepustowości, co stanowi znaczny koszt dla dostawców.

Odcinek pokazuje, że w miarę coraz większej integracji sztucznej inteligencji z wrażliwymi przepływami pracy ochrona prywatności użytkowników wymaga wyjścia poza szyfrowanie treści i zabezpieczenia samych wzorców komunikacji cyfrowej