Ang mga mananaliksik ng Microsoft ay detalyado ang isang bagong pag-atake sa side-channel na tinatawag na”Whisper Leak”na maaaring hulaan ang paksa ng naka-encrypt na mga chat sa AI, na naglalantad ng isang pangunahing panganib sa privacy sa buong industriya ng AI. Ipinakita kung paano ang mga pattern sa laki ng trapiko ng network at tiyempo ay maaaring magbunyag kung ano ang tinatalakay ng mga gumagamit, kahit na sa pag-encrypt ng TLS. Ang kapintasan ay nakakaapekto sa 28 pangunahing mga modelo ng AI, na lumilikha ng isang malubhang panganib sa privacy para sa mga gumagamit sa buong mundo. Ang isang tagamasid sa isang network ay maaaring makita ang mga sensitibong pag-uusap tungkol sa mga paksa sa ligal o kalusugan. src=”https://winbuzzer.com/wp-content/uploads/2025/11/whisper-leak.jpg”> Sa halip, sinasamantala nito ang metadata na likas na nag-encrypt na iniwan. Ang mga sagot, nabuo ng token-by-token, lumikha ng mga natatanging pagkakasunud-sunod ng mga packet ng data kapag naka-stream sa isang gumagamit. Ang bawat paksa, mula sa ligal na pagsusuri hanggang sa kaswal na pag-uusap, ay bumubuo ng teksto na may natatanging mga istruktura ng bokabularyo at pangungusap. Ang mga pattern ng lingguwistika na ito ay gumagawa ng isang katangian na”digital fingerprint”sa trapiko ng network. href=”https://github.com/yo-yo-yo-jbo/whisper_leak?tab=readme-ov-file”target=”_ blangko”> Ang pampublikong toolkit ng proyekto Kinukumpirma ang pamamaraang ito, na gumagamit ng mga modelo ng pag-aaral ng makina upang malaman ang banayad na mga pirma ng iba’t ibang mga uri ng pag-uusap. Kahit na sa nilalaman ng scrambled, ang mga pattern ng trapiko ay ipinagkanulo ang paksa ng pag-uusap. Sinubukan ng koponan ng Microsoft ang 28 komersyal na magagamit na mga LLM, ang paghahanap ng karamihan ay lubos na madaling kapitan.
Para sa maraming mga modelo, ang pag-atake na nakamit malapit sa perpektong pag-uuri. Nabanggit ng mga mananaliksik sa isang post sa blog,”Sinasabi sa amin na ang natatanging digital na’fingerprint’na naiwan sa pamamagitan ng mga pag-uusap sa isang tiyak na paksa ay sapat na natatangi para sa aming AI-powered eavesdropper na mapagkakatiwalaang pumili ng mga ito sa isang kinokontrol na pagsubok.”Ang pananaliksik ay nagpakita ng nakababahala na katumpakan sa ilalim ng makatotohanang mga kondisyon. Kilalanin ang mga gumagamit na tinatalakay ang kumpidensyal na ligal, pinansiyal, o mga usapin sa kalusugan. Tulad ng estado ng mga mananaliksik,”Ang kahinaan sa buong industriya na ito ay nagdudulot ng mga makabuluhang panganib para sa mga gumagamit sa ilalim ng pagsubaybay sa network ng mga ISP, gobyerno, o lokal na kalaban.”96.0% 59.5% 100.0% microsoft-deepseek-r1 98.6% 98.9% 46.3% 99.9% 99.9% 61.0% 94.8% 95.5% 56.8% 99.9% xai-grok-3-mini-beta 99.1% 98.8% 73.0% 99.9% 99.9% 73.2% 97.2% 97.5% 74.9% 99.9% Mistral-maliit na 98.3% 97.6% 60.7% 99.9% 99.8% 65.1% 94.1% 94.3% 61.3% 99.9% Groq-Llama-4-Maverick 99.3% 99.2% 52.9% 99.6% 99.7% 56.4% 93.6% 94.2% 60.4% 99.7% Deepsese 98.6% 46.5% 99.3% 99.4% 62.5% 96.7% 96.9% 65.4% 99.4% alibaba-qwen2.5-plus 98.0% 97.7% 66.3% 99.1% 99.0% 63.5% 97.1% 97.3% 67.4% 99.1% xai-gROK-2 99.0% 98.8% 66. 98.5% 98.7% 70.1% 93.2% 94.9% 72.9% 99.0% Alibaba-Qwen2.5-Turbo 97.2% 96.8% 71.9% 97.5% 97.6% 71.8% 99.0% 98.9% 71.2% 99.0% Openai-O1-Mini 97.8% 98.0% 58.7% 98.9% 98.9% 62.1% 97.0% 96.9% 64.6% 98.9% OpenAI-GPT-4O-Mini 97.5% 97.8% 76.7% 98.2% 98.3% 75.4% 98.6% 98.6% 72.6% 98.6% Deepseek-Deepseek-V3-Chat 98.3% 98.0% 58.6% 98.1% 98.1% 59.7% 97.6% 97.6% 60.6% 98.3% Openai-GPT-4. 96.8% 97.5% 59.9% 76.3% 97.8% 68.3% 91.9% 92.5% 59.6% 97.8% Lambda-Llama-3.1-405B 97.7% 97.5% 62.6% 93.2% 96.6% 66.8% 95.5% 95.6% 62.0% 97.7% Groq-lama 97.6% 97.3% 60.3% 68.5% 70.0% 64.8% 89.0% 89.6% 57.4% 97.6% Openai-GPT-4.1-Nano 96.1% 96.8% 77.8% 97.1% 97.1% 75.5% 96.2% 96.4% 77.1% 97.1% MICROYOft-GPT-4O-MINI 93.4% 93.2% 77.8% 88.5% 81.3% 81.8% 91.3% 91.5% 77.2% 93.4% Anthropic-Claude-3-Haiku 90.2% 76.8% 78.7% 91.2% 80.1% 80.0% 87.9% 74.5% 77.9% 91.2% Microsoft-GPT-4.1-Nano 89.5% 91.0% 84.0% 88.1% 82.4% 85.4% 86.6% 86.9% 80.5% 91.0% Microsoft-GPT-4O 89.9% 90.1% 78.0% 87.2% 81.4% 83.0% 87.3% 87.9% 77.7% 90.1% Microsoft-GPT-4.1-Mini 89.7% 89.4% 75.4% 86.7% 80.4% 78.9% 86.6% 87.3% 76.0% 89.7% 83.1% 76.3% 82.4% 84.0% 78.5% 83.4% 84.0% Google-Gemini-1.5-Flash 81.0% 76.2% 80.2% 82.4% 78.3% 81.6% 83.5% 81.6% 82.8% 83.5% google-gemini-1.5-flash-light 79.9% 74.6% 79.4% 79.7% 75.5% 79.0% 81.9% 77.8% 81.4% 81.9% Amazon-Nova-Pro-V1 46.2% 57.9% 46.6% 77.5% 74.9% 57.3% 60.9% 60.6% 57.6% 77.5% Microsoft-Phi-3.5-mini-moe-instruct 70.0% 70.0% 75.3% 75.3% 72.1% 76.9% 75.9% 72.5% 74.4% 76. Amazon-Nova-Lite-V1 67.6% 68.3% 63.2% 71.2% 70.5% 67.7% 65.8% 65.5% 65.1% 71.2% Average 96.8% 96.8% 70.9% 93.2% 97.1% 71.8% 92.5% 93.3% 69.7% NAN% Ang mga LLM na naka-host sa tinukoy na mga tagapagbigay ng serbisyo at mga set ng tampok at pag-atake ng arkitektura ng modelo. Ang mas mataas na mga numero ay tumutugma sa isang mas mataas na pagiging epektibo ng pag-atake sa side-channel. Ang mga metrika ay kinakalkula bilang isang panggitna higit sa 5 mga pagsubok, kung saan ang isang random split ay isinasagawa bawat pagsubok. Ang haligi ng’Best’ay ang pinakamahusay na 5 pagsubok na median mula sa mga modelo at mga tampok na tampok na ginamit. (Pinagmulan: Microsoft)
Noong Nobyembre, ang mga tugon ay halo-halong. Sinusundan nito ang pagtanggi ng Oktubre ng Google na ayusin ang isang kritikal na”ascii smuggling”na kapintasan sa mga modelo ng gemini nito, na kung saan ito ay inuri bilang isang problema sa social engineering sa halip na isang security bug. Nabanggit ni Rehberger sa kasong iyon,”Pinoprotektahan ka ng kaligtasan mula sa mga aksidente. Pinoprotektahan ka ng seguridad mula sa mga kalaban.”Ang pagkakaiba ay kritikal dahil ang mga ahente ng AI ay nagiging mas autonomous at isinama sa sensitibong data. Sinuri ng mga mananaliksik ang ilang mga pagpapagaan, bawat isa ay may makabuluhang mga trade-off. Ang mga random na padding ng data, na ipinatupad ngayon ng ilang mga tagapagkaloob, ay nagdaragdag ng ingay sa mga laki ng packet ngunit bahagyang binabawasan lamang ang tagumpay ng pag-atake. Habang epektibo sa mas malaking laki ng batch, maaari itong magpabagal sa real-time, tumutugon na pakiramdam ng isang chatbot, na nakakaapekto sa karanasan ng gumagamit. Ang pamamaraang ito, gayunpaman, ay nagdaragdag ng bandwidth overhead, isang makabuluhang pagsasaalang-alang sa gastos para sa mga tagapagkaloob.
