Microsoft разкрива нова атака срещу AI чатботове: „Whisper Leak“

Microsoft обяви подробности за нова странична атака (side-channel attack), която може да позволи на зложелател, който наблюдава интернет трафика, да разбере за какво се говори в разговор с изкуствен интелект (AI) – дори когато връзката е шифрирана.

Тази атака е наречена Whisper Leak (в превод: „Шепнещ теч“).

---

Какво точно прави атаката?

Дори когато разговорът между потребител и голям езиков модел (LLM) – например ChatGPT, Grok или Mistral – е защитен с HTTPS (шифроване, което крие съдържанието), атакуващият може да види:

• Размера на пакетите данни (колко байта се изпращат)
• Времето между пакетите (колко бързо пристигат)

От тези две неща – размер и време – атакуващият може да познае темата на разговора.

Пример: Ако питаш AI за „парични измами“, моделът ще генерира отговор по определен начин. Този начин оставя „отпечатък“ в размера и времето на пакетите. Атакуващият може да разпознае този отпечатък – дори без да вижда текста.

---

Кой може да извърши такава атака?

• Държавни агенции, които контролират интернет доставчиците
• Хора в същата Wi-Fi мрежа (кафе, офис, хотел)
• Хакери в локалната мрежа

Те не могат да прочетат какво пишеш, но могат да разберат дали говориш за забранена или чувствителна тема – например:

• пране на пари
• политическа критика
• тероризъм
• здравни проблеми

---

Как работи „стриймингът“ в AI?

Повечето модерни AI чатботове използват стрийминг режим:

• Вместо да изчакат целия отговор, те го изпращат на части (наречени токени – дума или част от дума).
• Това прави разговора по-бърз и „жив“.

Но точно този начин на изпращане оставя следите, които Whisper Leak използва.

---

Колко точна е атаката?

Microsoft тества атаката с три различни машинни модела за разпознаване:

Модел за разпознаване / Точност

• LightGBM — >98%
• Bi-LSTM — >98%
• BERT — >98%

Това означава: над 98% успеваемост при разпознаване на конкретна тема в произволен разговор.

---

Кои AI модели са уязвими?

• Mistral
• xAI (Grok)
• DeepSeek
• OpenAI (ChatGPT)

След като Microsoft съобщи за уязвимостта, всички тези компании въведоха защита.

---

Как се защитаваме?

От страна на компаниите:

• OpenAI, Microsoft и Mistral добавят случаен текст с различна дължина в края на всеки отговор. Това „замъглява“ размера на пакетите и прави атаката невъзможна.

От страна на потребителите:

• 1. Избягвай чувствителни теми в публични или несигурни мрежи
• 2. Използвай VPN – той крие трафика от локалната мрежа
• 3. Изключи стрийминга (ако е възможно) – изчакай целия отговор наведнъж
• 4. Избери доставчик с внедрена защита (OpenAI, Microsoft, Mistral, xAI)

---

Други проблеми с отворените AI модели

Освен Whisper Leak, ново проучване на Cisco показа, че 8 популярни отворени AI модела (като Llama, Qwen, Gemma) лесно се „подвеждат“ с поредица от въпроси.

Те могат да бъдат принудени да игнорират своите собствени правила за безопасност след няколко разговора.

Особено уязвими са моделите, фокусирани върху мощност, а не върху сигурност.

---

Какво да правят компаниите?

• Добавят строги защити при използване на AI
• Настройват отворените модели да устояват на атаки
• Провеждат редовни тестове (т.нар. red teaming)
• Използват ясни инструкции към AI за позволени теми

---

Заключение

Whisper Leak показва, че дори шифроването не е достатъчно, когато става дума за AI. Метаданните (размер, време) могат да издадат повече, отколкото си мислим.

Добрата новина: проблемът е решен от водещите компании. Лошата: нови атаки ще се появяват.