摘要：微软披露了一种名为“Whisper Leak”的新型侧信道攻击，攻击者可以利用该攻击监控网络流量，即使数据经过加密，也能推断出用户与远程语言模型之间的对话内容。微软警告称，这一漏洞可能泄露用户或企业与人工智能系统对话中的敏感信息，造成严重隐私风险。

微软披露了一种名为“Whisper Leak”的新型侧信道攻击，攻击者可以利用该攻击监控网络流量，即使数据经过加密，也能推断出用户与远程语言模型之间的对话内容。微软警告称，这一漏洞可能泄露用户或企业与人工智能系统对话中的敏感信息，造成严重隐私风险。

人工智能聊天机器人如今在日常生活以及医疗保健和法律等敏感领域扮演着关键角色。通过强有力的匿名化、加密和数据保留策略来保护用户数据，对于维护信任和隐私至关重要。

AI聊天机器人使用HTTPS（TLS）加密通信，确保安全可靠的连接。语言模型逐个生成文本令牌，并以流式输出的方式提供更快的反馈。TLS使用非对称加密技术，通过AES或ChaCha20等加密算法交换对称密钥，从而使密文大小接近明文大小。

近期研究揭示了AI模型中存在的侧信道攻击风险：攻击者可以推断令牌长度、时间或缓存模式，从而猜测提示主题。微软研究人员的Whisper泄露事件分析进一步阐述了这些风险，展示了仅凭加密流量模式就能揭示对话主题。

微软的研究人员训练了一个二元分类器，用于检测与语言模型的聊天是否涉及特定主题（例如“洗钱的合法性”），以及是否涉及一般流量。他们生成了 100 个与主题相关的提示和超过 11,000 个无关提示，并通过 tcpdump 捕获响应时间和数据包大小，同时对样本进行随机化处理以避免缓存偏差。

他们使用LightGBM、 Bi-LSTM和 BERT模型测试了时间、大小和组合数据。许多模型的准确率（AUPRC）超过 98%，证明特定主题的网络模式会留下可识别的数字“指纹”。

微软发布的报告指出： “我们使用精确率-召回率曲线下面积（AUPRC）评估了攻击性能，该指标衡量的是网络攻击在不平衡数据集（负样本多，正样本少）上的成功率。快速查看‘最佳整体表现’一栏可知，许多模型的得分都超过了98%。这表明，围绕特定主题的对话所留下的独特数字‘指纹’足够独特，足以让我们的AI窃听器在受控测试中可靠地识别出来。”

一项模拟真实监控场景的研究发现，即使监控1万条随机对话，其中只有一条涉及敏感话题，攻击者仍然能够以惊人的精准度识别目标。

许多测试的人工智能模型实现了100%的准确率，所有被标记的对话都与主题完全匹配，同时还能检测到5%到50%的目标对话。这意味着即使使用加密攻击者或机构也能可靠地发现讨论敏感问题的用户。虽然预测受限于测试数据，但结果表明，随着攻击者收集更多数据并改进模型，这种风险正在真实存在且日益加剧。

报告继续指出：“在对一个测试模型进行扩展测试后，我们观察到随着数据集规模的增加，攻击准确率持续提高。结合更复杂的攻击模型以及多轮对话或同一用户的多条对话中更丰富的模式，这意味着，有耐心和资源的网络攻击者可能获得比我们初步结果更高的成功率。”

微软与 OpenAI、Mistral、微软和 xAI 分享了调查结果，这些公司实施了缓解措施以降低已识别的风险。

OpenAI（以及后来的微软 Azure）在流式响应中添加了混淆字段，插入随机文本来掩盖令牌长度并大幅降低攻击效果；测试证实，Azure 的修复方案将风险降低到几乎无法实际应用的水平。Mistral 通过新的“p”参数引入了类似的缓解措施。

虽然这主要是人工智能提供商的问题，但用户可以通过避免在不受信任的网络上讨论敏感话题、使用 VPN、选择具有缓解措施的提供商、选择非流媒体模型以及随时了解安全实践来增强隐私。

微软官方博客文章：《Whisper Leak：一种针对远程语言模型的新型侧信道攻击》

来源：会杀毒的单反狗