命中率超98%：微軟披露側(cè)信道攻擊，可窺探你和AI聊天內(nèi)容

11月10日，微軟安全研究團(tuán)隊(duì)于 11 月 8 日發(fā)布博文，披露名為“Whisper Leak”的嚴(yán)重隱私漏洞，是一種針對(duì)現(xiàn)代 AI 聊天服務(wù)的側(cè)信道攻擊。

這一攻擊技術(shù)的核心在于，它不需要破解 TLS 等主流加密協(xié)議，而是通過分析加密網(wǎng)絡(luò)流量的元數(shù)據(jù)（即數(shù)據(jù)包的大小、傳輸時(shí)序和序列模式）來推斷用戶與 AI 的對(duì)話主題。

由于 AI 服務(wù)為提供流暢體驗(yàn)，普遍采用 token-by-token 流式傳輸應(yīng)答，這種行為恰好在網(wǎng)絡(luò)層留下了獨(dú)特的“指紋”，讓攻擊成為可能。

研究人員通過訓(xùn)練機(jī)器學(xué)習(xí)模型，證明了這種攻擊的有效性。他們采集了大量 AI 應(yīng)答的加密數(shù)據(jù)包軌跡，發(fā)現(xiàn)不同主題的對(duì)話會(huì)產(chǎn)生系統(tǒng)性差異的元數(shù)據(jù)模式。

例如，關(guān)于“洗錢”等敏感話題的提問，其應(yīng)答數(shù)據(jù)包的節(jié)奏和大小組合，與普通日常對(duì)話顯著不同。在受控的實(shí)驗(yàn)環(huán)境中，分類器識(shí)別特定敏感話題的準(zhǔn)確率驚人地超過了 98%，表明其在現(xiàn)實(shí)世界中進(jìn)行大規(guī)模、高精度定點(diǎn)監(jiān)控的潛力。

此漏洞暴露了廣泛的 AI 聊天服務(wù)所面臨的系統(tǒng)性風(fēng)險(xiǎn)。互聯(lián)網(wǎng)服務(wù)提供商（ISP）、公共 Wi-Fi 上的惡意行為者等攻擊者都可能利用 Whisper Leak，觀察用戶網(wǎng)絡(luò)流量，識(shí)別和標(biāo)記敏感對(duì)話。

這對(duì)記者、活動(dòng)家以及尋求法律或醫(yī)療建議的普通用戶構(gòu)成了嚴(yán)重威脅，因?yàn)榧词箤?duì)話內(nèi)容本身是加密的，對(duì)話的“主題”也可能被暴露，從而引發(fā)后續(xù)的審查或風(fēng)險(xiǎn)。

在微軟遵循負(fù)責(zé)任披露原則通報(bào)業(yè)界后，多家主流 AI 供應(yīng)商已迅速采取行動(dòng)。現(xiàn)行的緩解措施主要分為三類：

一是通過隨機(jī)填充或內(nèi)容混淆來破壞數(shù)據(jù)包大小與原文長(zhǎng)度的關(guān)聯(lián)性；

二是采用 tokens 批處理，將多個(gè) tokens 打包后再發(fā)送，以降低時(shí)間精度；

三是主動(dòng)注入虛擬數(shù)據(jù)包，干擾流量模式。

這些措施在提升安全性的同時(shí)，也帶來了延遲增加、帶寬消耗增大等代價(jià)，迫使服務(wù)商在用戶體驗(yàn)和隱私保護(hù)之間做出權(quán)衡。

對(duì)普通用戶而言，在處理高度敏感信息時(shí)，優(yōu)先選擇非流式應(yīng)答模式，并避免在不受信任的網(wǎng)絡(luò)中進(jìn)行查詢，是當(dāng)前有效的防護(hù)手段。