微软发现“耳语泄漏”攻击，可识别加密流量中的人工智能聊天主题

微软披露了一种针对远程语言模型的新颖旁道攻击的细节，该攻击可以使具有观察网络流量能力的被动对手在某些情况下尽管有加密保护，但仍能收集有关模型“对话”主题的详细信息。

该公司指出，人类和流模式语言模型之间交换的数据的泄漏可能会给用户和企业通信的隐私带来严重风险。的攻击已被命名为耳语泄漏。

安全研究人员 Jonathan Bar Or 和 Geoff McDonald 以及 Microsoft Defender 安全研究团队表示：“能够观察加密流量的网络攻击者（例如，互联网服务提供商层的民族国家行为者、本地网络上的某人或连接到同一 Wi-Fi 路由器的某人）可以利用此网络攻击来推断用户的提示是否针对特定主题。”说。

换句话说，该攻击允许攻击者观察用户和 LLM 服务之间的加密 TLS 流量，提取数据包大小和时序，并使用经过训练的分类器来推断对话主题是否与敏感目标类别匹配。

大语言模型中的模型流式传输（法学硕士）是一种允许在模型生成响应时接收增量数据的技术，而不必等待计算整个输出。这是一种关键的反馈机制，因为某些响应可能需要时间，具体取决于提示或任务的复杂性。

微软展示的最新技术意义重大，尤其是因为尽管与人工智能 (AI) 聊天机器人的通信是通过 HTTPS 加密的，但它仍然有效，这确保了交换内容的安全且无法被篡改。

近年来，针对 LLM 设计了许多侧通道攻击，包括能够推断各个明文标记的长度根据流模型响应中加密数据包的大小，或者利用缓存 LLM 推断所引起的时间差异来执行输入盗窃（又名输入抢夺）。

Whisper Leak 在这些发现的基础上探索了一种可能性，即“流式语言模型响应期间的加密数据包大小和到达间隔时间的序列包含足够的信息来对‘初始’提示的主题进行分类，即使在响应以令牌‘分组’形式流式传输的情况下也是如此”。

为了测试这一假设，Windows 制造商表示，它训练了一个二元分类器作为概念验证，能够使用三种不同的机器学习模型区分特定主题提示和其余主题提示（即噪音）：光GBM,双LSTM, 和伯特。

结果是，来自 Mistral、xAI、DeepSeek 和 OpenAI 的许多模型的得分都超过 98%，从而使监控与聊天机器人的随机对话的攻击者能够可靠地标记该特定主题。

微软表示：“如果政府机构或互联网服务提供商正在监控流行的人工智能聊天机器人的流量，他们就可以可靠地识别提出有关特定敏感主题问题的用户，无论是洗钱、政治异议还是其他受监控的主题，即使所有流量都是加密的。”

Whisper Leak 攻击管道

更糟糕的是，研究人员发现，随着攻击者随着时间的推移收集更多的训练样本，Whisper Leak 的有效性可以提高，从而将其转变为实际威胁。在负责任的披露之后，OpenAI、Mistral、微软和 xAI 都部署了缓解措施来应对这一风险。

它补充说：“结合更复杂的攻击模型和多轮对话或来自同一用户的多次对话中可用的更丰富的模式，这意味着具有耐心和资源的网络攻击者可以获得比我们最初结果表明的更高的成功率。”

OpenAI、微软和 Mistral 设计的一项有效对策是向每个响应添加“可变长度文本的随机序列”，这反过来又掩盖了每个令牌的长度，从而使侧信道变得毫无意义。

微软还建议，在与人工智能提供商交谈时担心自己隐私的用户可以在使用不受信任的网络时避免讨论高度敏感的主题，利用 VPN 提供额外的保护层，使用 LLM 的非流式模型，并切换到已实施缓解措施的提供商。

该披露是作为新评价来自阿里巴巴 (Qwen3-32B)、DeepSeek (v3.1)、Google (Gemma 3-1B-IT)、Meta (Llama 3.3-70B-Instruct)、Microsoft (Phi-4)、Mistral（Large-2 aka Large-Instruct-2047）、OpenAI (GPT-OSS-20b) 和 Zhipu AI (GLM) 的八个开放权重法学硕士4.5-Air）发现它们非常容易受到对抗性操纵，特别是当涉及到多回合攻击。

比较漏洞分析显示单轮和多轮场景下测试模型的攻击成功率

思科人工智能防御研究人员 Amy Chang、Nicholas Conley、Harish Santhanalakshmi Ganesan 和 Adam Swanda 在一份报告中表示：“这些结果强调了当前的开放权重模型在系统上无法在扩展交互中维持安全护栏。”随附文件。

“我们评估对齐策略和实验室优先级会显着影响弹性：Llama 3.3 和 Qwen 3 等以能力为中心的模型表现出更高的多圈敏感性，而 Google Gemma 3 等以安全为导向的设计表现出更平衡的性能。”

这些发现表明，采用开源模型的组织在缺乏额外安全防护的情况下可能会面临运营风险，从而增加了不断增长的研究机构自 OpenAI ChatGPT 于 2022 年 11 月公开亮相以来，暴露了法学硕士和人工智能聊天机器人的基本安全漏洞。

这使得开发人员在将此类功能集成到工作流程中时实施足够的安全控制、微调开放权重模型以使其对越狱和其他攻击更加稳健、定期进行人工智能红队评估以及实施与定义的用例一致的严格系统提示至关重要。

觉得这篇文章有趣吗？关注我们谷歌新闻,推特和领英阅读我们发布的更多独家内容。