微软安全研究团队揭露了一种名为 “Whisper Leak” 的严重隐私漏洞。这是一种针对现代 AI 聊天服务的侧信道攻击,可能让恶意用户窥探到用户与 AI 之间的对话内容。
这一攻击的核心在于,它并不需要破解现有的 TLS 等加密协议,而是通过分析加密网络流量的元数据,诸如数据包的大小、传输时序以及序列模式,从而推断出用户与 AI 的对话主题。由于 AI 服务为了提供流畅的体验,通常采用逐个 token 流式传输应答的方式,这种做法在网络层留下了独特的 “指纹”,为攻击提供了可行性。
研究人员训练了机器学习模型,并通过收集大量 AI 应答的加密数据包轨迹,证明了这种攻击的有效性。不同主题的对话产生了系统性差异的元数据模式。例如,涉及 “洗钱” 等敏感话题的提问,其应答数据包的节奏和大小与普通日常对话有显著不同。在受控实验中,分类器对于识别特定敏感话题的准确率超过了98%,显示出其在现实世界中进行高精度监控的潜力。
该漏洞使得广泛的 AI 聊天服务面临系统性风险。攻击者,特别是互联网服务提供商(ISP)或公共 Wi-Fi 上的恶意行为者,可能利用 “Whisper Leak” 观察用户的网络流量,从而识别和标记敏感对话。这对记者、活动家以及需要法律或医疗建议的普通用户来说,构成了严重威胁。尽管对话内容本身是加密的,用户的对话 “主题” 却可能被泄露,从而引发后续审查或风险。
在微软遵循负责任披露原则后,多家主流 AI 供应商迅速采取了应对措施。当前的缓解方案主要包括:通过随机填充或内容混淆来打破数据包大小与内容长度的关联;采用 tokens 批处理以降低时间精度;以及主动注入虚拟数据包以干扰流量模式。这些措施虽然提高了安全性,但也带来了延迟增加和带宽消耗增大的问题,服务商不得不在用户体验和隐私保护之间做出权衡。
对于普通用户来说,处理高度敏感信息时,优先选择非流式应答模式,并避免在不受信任的网络中进行查询,是当前有效的防护手段。
划重点:
🌐 研究人员揭示 “Whisper Leak” 是一种新的隐私漏洞,通过网络流量元数据分析窃取 AI 聊天内容。
🔍 攻击方法无需破解加密协议,准确率超过98%,让恶意用户可能识别敏感对话。
🛡️ 多家 AI 供应商已采取措施,但用户仍需注意在不受信任的网络中保护敏感信息。