Microsoft phát hiện ra lỗ hổng’Rò rỉ thì thầm’, làm lộ các cuộc trò chuyện AI được mã hóa trên 28 LLM

Các nhà nghiên cứu của Microsoft đã trình bày chi tiết về một cuộc tấn công kênh bên mới có tên”Whisper Leak”có thể đoán chủ đề của các cuộc trò chuyện AI được mã hóa, bộc lộ rủi ro cơ bản về quyền riêng tư trong toàn ngành AI.

Trong một báo cáo, nhóm đã cho thấy các mẫu về quy mô và thời gian lưu lượng truy cập mạng có thể tiết lộ nội dung người dùng đang thảo luận như thế nào, ngay cả với mã hóa TLS. Lỗ hổng này ảnh hưởng đến 28 mô hình AI chính, gây ra rủi ro nghiêm trọng về quyền riêng tư cho người dùng trên toàn cầu. Một người quan sát trên mạng có thể phát hiện ra các cuộc thảo luận nhạy cảm về các chủ đề pháp lý hoặc y tế.

Sau quá trình tiết lộ bắt đầu vào tháng 6, các nhà cung cấp lớn như OpenAI và Microsoft đã bắt đầu triển khai các bản sửa lỗi, nhưng vấn đề này cho thấy rủi ro cốt lõi trong việc phát trực tuyến AI.

Cách Whisper Leak nghe lén AI được mã hóa như thế nào Trò chuyện

Sự khéo léo của cuộc tấn công nằm ở khả năng hoạt động mà không phá vỡ mã hóa TLS cơ bản bảo vệ thông tin liên lạc trực tuyến. Thay vào đó, nó khai thác siêu dữ liệu mà mã hóa vốn đã để lộ.

Theo tài liệu của dự án, “Whisper Leak là bộ công cụ nghiên cứu chứng minh cách các cuộc hội thoại phát trực tuyến, được mã hóa bằng Mô hình ngôn ngữ lớn làm rò rỉ thông tin nhắc nhở thông qua kích thước và thời gian gói.”

Phương pháp này bỏ qua bảo mật nội dung bằng cách tập trung vào hình dạng và nhịp điệu của luồng dữ liệu.

Phản hồi LLM, tạo ra từng mã thông báo, tạo ra các chuỗi gói dữ liệu duy nhất khi truyền trực tuyến tới người dùng. Mỗi chủ đề, từ phân tích pháp lý đến cuộc trò chuyện thông thường, đều tạo ra văn bản với cấu trúc câu và từ vựng riêng biệt. Các mẫu ngôn ngữ này tạo ra một “dấu vân tay kỹ thuật số” đặc trưng trong lưu lượng truy cập mạng.

Phân tích trình tự kích thước gói và thời gian đến, các nhà nghiên cứu đã xây dựng bộ phân loại để nhận dạng các dấu vân tay này với độ chính xác cao.

Bộ công cụ công khai của dự án xác nhận phương pháp này sử dụng công nghệ học máy làm mẫu để tìm hiểu các dấu hiệu tinh tế của các kiểu hội thoại khác nhau. Ngay cả với nội dung bị xáo trộn, kiểu lưu lượng truy cập cũng phản bội chủ đề của cuộc trò chuyện.

Một lỗ hổng toàn ngành ảnh hưởng đến 28 mô hình AI chính

Whisper Leak không phải là một lỗi riêng lẻ mà là một lỗ hổng hệ thống ảnh hưởng đến một phạm vi rộng của ngành AI. Nhóm Microsoft đã thử nghiệm 28 LLM có sẵn trên thị trường và nhận thấy phần lớn rất dễ bị tấn công.

Đối với nhiều mô hình, cuộc tấn công đã đạt được phân loại gần như hoàn hảo. Các nhà nghiên cứu lưu ý trong một bài đăng trên blog:”Điều này cho chúng tôi biết rằng’dấu vân tay’kỹ thuật số duy nhất do các cuộc trò chuyện về một chủ đề cụ thể để lại đủ khác biệt để kẻ nghe trộm được hỗ trợ bởi AI của chúng tôi có thể xác định chúng một cách đáng tin cậy trong một thử nghiệm có kiểm soát.”

Đối với các doanh nghiệp dựa vào AI cho các hoạt động liên lạc nhạy cảm, các phát hiện này thể hiện một vectơ đe dọa mới và đầy thách thức. Nghiên cứu đã chứng minh độ chính xác đáng báo động trong điều kiện thực tế.

Trong một mô phỏng với tỷ lệ tiếng ồn xung quanh các cuộc hội thoại mục tiêu là 10.000 trên 1, cuộc tấn công đã xác định các chủ đề nhạy cảm với độ chính xác 100% cho 17 trong số 28 mô hình, trong khi vẫn phát hiện được 5-20% tổng số cuộc hội thoại mục tiêu.

Một đối thủ mạng thụ động, chẳng hạn như ISP, cơ quan chính phủ hoặc kẻ tấn công trên mạng Wi-Fi công cộng, có thể xác định một cách đáng tin cậy những người dùng thảo luận về pháp lý bí mật, các vấn đề tài chính hoặc sức khỏe.

Khả năng này biến các cuộc trò chuyện AI được mã hóa thành một nguồn tiềm năng để giám sát có mục tiêu. Như các nhà nghiên cứu tuyên bố: “Lỗ hổng toàn ngành này gây ra rủi ro đáng kể cho người dùng dưới sự giám sát của mạng bởi các ISP, chính phủ hoặc đối thủ địa phương”.

Một cách khắc phục khó khăn: Giảm thiểu và phản hồi không nhất quán của nhà cung cấp

Microsoft đã bắt đầu quy trình tiết lộ có trách nhiệm vào tháng 6 năm 2025, thông báo cho tất cả 28 nhà cung cấp bị ảnh hưởng. Tính đến tháng 11, các phản hồi đã khác nhau.

Trong khi các nhà cung cấp như OpenAI, Microsoft, Mistral và xAI chuyển sang vá lỗ hổng, báo cáo lưu ý rằng các nhà cung cấp khác đã từ chối thực hiện các bản sửa lỗi hoặc vẫn không phản hồi.

Sự cố này nêu bật sự mâu thuẫn đáng lo ngại trong cách ngành này xử lý các mối đe dọa mới có nguồn gốc từ AI. Nó diễn ra sau khi Google từ chối sửa một lỗ hổng nghiêm trọng “ASCII buôn lậu” trong các mô hình Gemini của mình. Nó được phân loại là một vấn đề kỹ thuật xã hội chứ không phải là một lỗi bảo mật.

Nó cũng lặp lại một lỗ hổng đánh cắp dữ liệu gần đây trong Claude của Anthropic, nơi công ty ban đầu bác bỏ báo cáo trước khi thừa nhận một “trục trặc trong quá trình”.

Như nhà nghiên cứu bảo mật Johann Rehberger đã lưu ý trong trường hợp đó, “sự an toàn bảo vệ bạn khỏi tai nạn. Bảo mật bảo vệ bạn khỏi những kẻ thù”. Sự khác biệt rất quan trọng khi các tác nhân AI trở nên tự chủ hơn và được tích hợp với dữ liệu nhạy cảm.

Việc khắc phục rò rỉ siêu dữ liệu không hề đơn giản. Các nhà nghiên cứu đã đánh giá một số biện pháp giảm nhẹ, mỗi biện pháp đều có những đánh đổi đáng kể. Việc đệm dữ liệu ngẫu nhiên, hiện được một số nhà cung cấp triển khai, gây nhiễu cho kích thước gói nhưng chỉ làm giảm một phần thành công của cuộc tấn công.

Một chiến lược khác, phân nhóm mã thông báo, nhóm nhiều mã thông báo trước khi gửi chúng, che khuất các mẫu riêng lẻ. Mặc dù hiệu quả ở quy mô lô lớn hơn, nhưng điều này có thể làm giảm cảm giác phản hồi theo thời gian thực của chatbot, ảnh hưởng đến trải nghiệm người dùng.

Tùy chọn thứ ba, chèn các gói”nhiễu”tổng hợp, cũng có thể làm xáo trộn các mẫu lưu lượng truy cập. Tuy nhiên, cách tiếp cận này làm tăng chi phí băng thông, khiến các nhà cung cấp phải cân nhắc chi phí đáng kể.

Tập này cho thấy rằng khi AI ngày càng được tích hợp nhiều hơn vào các quy trình công việc nhạy cảm, việc bảo vệ quyền riêng tư của người dùng đòi hỏi phải xem xét xa hơn việc mã hóa nội dung để bảo mật chính các kiểu giao tiếp kỹ thuật số

Nhà cung cấp mô hình BERT LSTM LightGBM Tốt nhất Cả hai kích thước Chỉ thời gian Chỉ cả hai kích thước Chỉ thời gian Chỉ cả hai kích thước Chỉ thời gian Tổng thể sai lệch lớn 98,8% 98,5% 53,1% 99,9% 100,0% 64,3% 95,8% 96,0% 59,5% 100,0% microsoft-deepseek-r1 98,6% 98,9% 46,3% 99,9% 99,9% 61,0% 94,8% 95,5% 56,8% 99,9% xai-grok-3-mini-beta 99,1% 98,8% 73,0% 99,9% 99,9% 73,2% 97,2% 97,5% 74,9% 99,9% nhỏ sai 98,3% 97,6% 60,7% 99,9% 99,8% 65,1% 94,1% 94,3% 61,3% 99,9% groq-llama-4-maverick 99,3% 99,2% 52,9% 99,6% 99,7% 56,4% 93,6% 94,2% 60,4% 99,7% deepseek-deepseek-r1 98,8% 98,6% 46,5% 99,3% 99,4% 62,5% 96,7% 96,9% 65,4% 99,4% alibaba-qwen2.5-plus 98,0% 97,7% 66,3% 99,1% 99,0% 63,5% 97,1% 97,3% 67,4% 99,1% xai-grok-2 99,0% 98,8% 66,9% 98,5% 98,7% 70,1% 93,2% 94,9% 72,9% 99,0% alibaba-qwen2.5-turbo 97,2% 96,8% 71,9% 97,5% 97,6% 71,8% 99,0% 98,9% 71,2% 99,0% openai-o1-mini 97,8% 98,0% 58,7% 98,9% 98,9% 62,1% 97,0% 96,9% 64,6% 98,9% openai-gpt-4o-mini 97,5% 97,8% 76,7% 98,2% 98,3% 75,4% 98,6% 98,6% 72,6% 98,6% deepseek-deepseek-v3-chat 98,3% 98,0% 58,6% 98,1% 98,1% 59,7% 97,6% 97,6% 60,6% 98,3% openai-gpt-4.1-mini 96,8% 96,6% 78,5% 97,3% 98,0% 77,6% 97,4% 97,3% 76,3% 98,0% lambda-llama-3.1-8b-hướng dẫn 96,8% 97,5% 59,9% 76,3% 97,8% 68,3% 91,9% 92,5% 59,6% 97,8% lambda-llama-3.1-405b 97,7% 97,5% 62,6% 93,2% 96,6% 66,8% 95,5% 95,6% 62,0% 97,7% groq-llama-4-scout 97,6% 97,3% 60,3% 68,5% 70,0% 64,8% 89,0% 89,6% 57,4% 97,6% openai-gpt-4.1-nano 96,1% 96,8% 77,8% 97,1% 97,1% 75,5% 96,2% 96,4% 77,1% 97,1% microsoft-gpt-4o-mini 93,4% 93,2% 77,8% 88,5% 81,3% 81,8% 91,3% 91,5% 77,2% 93,4% anthropic-claude-3-haiku 90,2% 76,8% 78,7% 91,2% 80,1% 80,0% 87,9% 74,5% 77,9% 91,2% microsoft-gpt-4.1-nano 89,5% 91,0% 84,0% 88,1% 82,4% 85,4% 86,6% 86,9% 80,5% 91,0% microsoft-gpt-4o 89,9% 90,1% 78,0% 87,2% 81,4% 83,0% 87,3% 87,9% 77,7% 90,1% microsoft-gpt-4.1-mini 89,7% 89,4% 75,4% 86,7% 80,4% 78,9% 86,6% 87,3% 76,0% 89,7% google-gemini-2.5-pro  77,1% 74,3% 78,1% 83,1% 76,3% 82,4% 84,0% 78,5% 83,4% 84,0% google-gemini-1,5-flash 81,0% 76,2% 80,2% 82,4% 78,3% 81,6% 83,5% 81,6% 82,8% 83,5% google-gemini-1.5-đèn flash 79,9% 74,6% 79,4% 79,7% 75,5% 79,0% 81,9% 77,8% 81,4% 81,9% amazon-nova-pro-v1 46,2% 57,9% 46,6% 77,5% 74,9% 57,3% 60,9% 60,6% 57,6% 77,5% microsoft-phi-3.5-mini-moe-instruct 70,0% 70,0% 75,3% 75,3% 72,1% 76,9% 75,9% 72,5% 74,4% 76,9% amazon-nova-lite-v1 67,6% 68,3% 63,2% 71,2% 70,5% 67,7% 65,8% 65,5% 65,1% 71,2% Trung bình 96,8% 96,8% 70,9% 93,2% 97,1% 71,8% 92,5% 93,3% 69,7% nan%

Hiệu suất tấn công (AUPRC) trên các LLM mục tiêu được lưu trữ bởi các nhà cung cấp, bộ tính năng và kiến trúc mô hình tấn công được chỉ định. Con số cao hơn tương ứng với hiệu quả cao hơn của cuộc tấn công kênh bên. Số liệu được tính toán dưới dạng trung vị trên 5 thử nghiệm, trong đó việc phân chia ngẫu nhiên được thực hiện cho mỗi thử nghiệm. Cột’Tốt nhất’cũng là giá trị trung bình của 5 thử nghiệm tốt nhất từ ​​các mô hình và bộ tính năng được sử dụng. (Nguồn: Microsoft)