Microsoftin tutkijat ovat selvittäneet uuden sivukanavahyökkäyksen nimeltä "Whisper Leak", joka voi arvata salattujen tekoälykeskustelujen aiheen ja paljastaa perustavanlaatuisen tietosuojariskin koko tekoälyteollisuudessa.
Raportissa, tiimi osoitti, kuinka verkkoliikenteen koon ja ajoituksen mallit voivat paljastaa, mistä käyttäjät keskustelevat, jopa TLS-salauksella. Virhe vaikuttaa 28 suureen tekoälymalliin, mikä aiheuttaa vakavan tietosuojariskin käyttäjille maailmanlaajuisesti. Verkoston tarkkailija voi havaita arkaluonteisia puheita oikeudellisista tai terveydellisistä aiheista.
Kesäkuussa alkaneen julkistamisprosessin jälkeen suuret palveluntarjoajat, kuten OpenAI ja Microsoft, ovat alkaneet ottaa käyttöön korjauksia, mutta ongelma viittaa ydinriskiin suoratoiston tekoälyssä.
Kuinka Whisper Leak salakuuntelee salattuja tekoälykeskusteluja
Hyökkäyksen kekseliäisyys piilee sen kyvyssä toimia rikkomatta taustalla olevaa verkkoviestintää suojaavaa TLS-salausta. Sen sijaan se hyödyntää metatietoja, jotka salaus jättää luonnostaan paljaaksi.
Projektin dokumentaation mukaan "Whisper Leak on tutkimustyökalupakki, joka osoittaa, kuinka salatut, suoratoistokeskustelut Large Language Models -malleilla vuotavat nopeaa tietoa pakettikoon ja ajoituksen kautta."
Menetelmä ohittaa sisältöturvallisuuden keskittymällä tietovirran muotoon ja rytmiin.
LLM-vastaukset, jotka on luotu tunniste kerrallaan, luovat ainutlaatuisia datapakettien sarjoja, kun ne suoratoistetaan käyttäjälle. Jokainen aihe oikeudellisesta analyysistä satunnaiseen keskusteluun luo tekstiä, jossa on selkeä sanavarasto ja lauserakenteet. Nämä kielelliset kuviot tuottavat tyypillisen "digitaalisen sormenjäljen" verkkoliikenteeseen.
Analysoimalla pakettien kokoja ja saapumisaikoja, tutkijat rakensivat luokittelijat tunnistamaan nämä sormenjäljet suurella tarkkuudella.
Hankkeen julkinen työkalupakkivahvistaa tämän menetelmän, joka käyttää koneoppimismalleja eri keskustelutyyppien hienovaraisten allekirjoitusten oppimiseen. Jopa sekoitettua sisältöä käytettäessä liikennemallit paljastavat keskustelun aiheen.
Alan laajuinen virhe, joka vaikuttaa 28:een suureen tekoälymalliin
Whisper Leak ei ole yksittäinen bugi, vaan systeeminen haavoittuvuus, joka vaikuttaa laajaan tekoälyteollisuuteen. Microsoft-tiimi testasi 28 kaupallisesti saatavilla olevaa LLM:tä ja havaitsi, että suurin osa oli erittäin herkkiä.
Monissa malleissa hyökkäys saavutti lähes täydellisen luokituksen. Tutkijat totesivat blogikirjoituksessaan: "Tämä kertoo meille, että tietystä aiheesta käytyjen keskustelujen jättämät ainutlaatuiset digitaaliset "sormenjäljet" ovat riittävän erottuvia, jotta tekoälyllä toimiva salakuuntelijamme voi poimia ne luotettavasti kontrolloidussa testissä.
Yrityksille, jotka luottavat tekoälyyn herkässä viestinnässä, havainnot edustavat uutta ja haastavaa uhkavektoria. Tutkimus osoitti hälyttävän tarkkuuden realistisissa olosuhteissa.
Simulaatiossa, jossa taustamelun ja kohdekeskustelujen suhde oli 10 000:1, hyökkäys tunnisti arkaluontoiset aiheet 100 %:n tarkkuudella 17 mallissa 28 mallista, mutta havaitsi silti 5-20 % kaikista kohdekeskusteluista.
Passiivinen verkon vastustaja, kuten Internet-palveluntarjoaja, valtion virasto tai hyökkääjä julkisessa Wi-Fi-verkossa, voi luotettavasti tunnistaa käyttäjät, jotka keskustelevat luottamuksellisista oikeudellisista, taloudellisista tai terveydellisistä asioista.
Tämä ominaisuus muuttaa salatut tekoälykeskustelut mahdolliseksi lähteeksi kohdennetulle valvonnalle. Kuten tutkijat toteavat, "Tämä alan laajuinen haavoittuvuus aiheuttaa merkittäviä riskejä käyttäjille, jotka ovat Internet-palveluntarjoajien, hallitusten tai paikallisten vastustajien verkon valvonnassa."
Vaikea ratkaisu: lieventäminen ja epäjohdonmukaiset myyjän vastaukset
Microsoft aloitti vastuullisen tiedonantoprosessin kesäkuussa 2025 ja ilmoitti asiasta kaikille 28 palveluntarjoajalle, joita asia koskee. Marraskuusta lähtien vastaukset ovat olleet vaihtelevia.
Vaikka palveluntarjoajat, kuten OpenAI, Microsoft, Mistral ja xAI, muuttivat korjaamaan virheen, raportissa todetaan, että muut toimittajat ovat kieltäytyneet ottamasta käyttöön korjauksia tai ovat jääneet vastaamatta.
Lisätietoja:Microsoft kertoo "Whisper Leak" -haavoittuvuuden, joka voi paljastaa salatun tekoälykeskustelun
Tämä tapaus korostaa huolestuttavaa epäjohdonmukaisuutta siinä, miten teollisuus käsittelee uusia, tekoälyn aiheuttamia uhkia. Se seuraa Googlen lokakuussa kieltäytymistä korjaamasta kriittistä "ASCII-salakuljetus"-virhettä Gemini-malleissaan, jonka se luokitteli ennemminkin sosiaalisen suunnittelun ongelmaksi kuin tietoturvavirheeksi.
Se toistaa myös Anthropic's Clauden äskettäisen tietojen suodattamisen haavoittuvuuden, jossa yritys alun perin hylkäsi raportin ennen kuin myönsi "prosessihäiriön".
Kuten turvallisuustutkija Johann Rehberger totesi tuossa tapauksessa, "turvallisuus suojaa sinua onnettomuuksilta. Turvallisuus suojelee vastustajilta." Ero on kriittinen, kun tekoälyagenteista tulee autonomisempia ja ne integroituvat arkaluontoisten tietojen kanssa.
Metatietovuotojen korjaaminen ei ole yksinkertaista. Tutkijat arvioivat useita lievennyksiä, joista jokaisella oli merkittäviä kompromisseja. Joidenkin palveluntarjoajien nyt toteuttama satunnainen datatäyte lisää kohinaa pakettien kokoihin, mutta heikentää hyökkäyksen onnistumista vain osittain.
Toinen strategia, merkkien ryhmittely, ryhmittelee useita tokeneita ennen niiden lähettämistä peittäen yksittäisiä kuvioita. Vaikka se on tehokas isommissa erissä, se voi heikentää chatbotin reaaliaikaista reagointituntumaa ja vaikuttaa käyttökokemukseen.
Kolmas vaihtoehto, synteettisten "kohina"-pakettien lisääminen, voi myös hämärtää liikennemalleja. Tämä lähestymistapa kuitenkin lisää kaistanleveyden yleiskustannuksia, mikä on merkittävä kustannusarvio palveluntarjoajille.
Tämä osoittaa, että kun tekoäly integroituu entistä enemmän arkaluontoisiin työnkulkuihin, käyttäjien yksityisyyden suojaaminen edellyttää sisällön salausta pidemmälle katsomista digitaalisen viestinnän mallien turvaamiseksi.
Taulukko: Attack Performance (Auprc) Across Target LLMs
Hyökkäyssuorituskyky (AUPRC) määritettyjen palveluntarjoajien ja ominaisuusjoukkojen ja hyökkäysmalliarkkitehtuurien isännöimien kohde-LLM:iden välillä. Suuremmat luvut vastaavat parempaa sivukanavahyökkäyksen tehokkuutta. Mittarit lasketaan mediaanina yli 5 kokeesta, jossa satunnainen jako suoritetaan kokeilua kohden. Paras-sarake on myös viiden parhaan kokeilumediaani käytetyistä malleista ja ominaisuussarjoista. (Lähde: Microsoft)
| Toimittaja-malli | BERT | LSTM | LightGBM | Parhaat | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Molemmat | Vain koko | Vain aika | Molemmat | Vain koko | Vain aika | Molemmat | Vain koko | Vain aika | ||
| mistral-suuri | 98,8 % | 98,5 % | 53,1 % | 99,9 % | 100,0 % | 64,3 % | 95,8 % | 96,0 % | 59,5 % | 100,0 % |
| microsoft-deepseek-r1 | 98,6 % | 98,9 % | 46,3 % | 99,9 % | 99,9 % | 61,0 % | 94,8 % | 95,5 % | 56,8 % | 99,9 % |
| xai-grok-3-mini-beta | 99,1 % | 98,8 % | 73,0 % | 99,9 % | 99,9 % | 73,2 % | 97,2 % | 97,5 % | 74,9 % | 99,9 % |
| mistral-pieni | 98,3 % | 97,6 % | 60,7 % | 99,9 % | 99,8 % | 65,1 % | 94,1 % | 94,3 % | 61,3 % | 99,9 % |
| groq-lama-4-maverick | 99,3 % | 99,2 % | 52,9 % | 99,6 % | 99,7 % | 56,4 % | 93,6 % | 94,2 % | 60,4 % | 99,7 % |
| deepseek-deepseek-r1 | 98,8 % | 98,6 % | 46,5 % | 99,3 % | 99,4 % | 62,5 % | 96,7 % | 96,9 % | 65,4 % | 99,4 % |
| alibaba-qwen2.5-plus | 98,0 % | 97,7 % | 66,3 % | 99,1 % | 99,0 % | 63,5 % | 97,1 % | 97,3 % | 67,4 % | 99,1 % |
| -2 | 99,0 % | 98,8 % | 66,9 % | 98,5 % | 98,7 % | 70,1 % | 93,2 % | 94,9 % | 72,9 % | 99,0 % |
| Alibaba-qwen 2.5-turbo | 97,2 % | 96,8 % | 71,9 % | 97,5 % | 97,6 % | 71,8 % | 99,0 % | 98,9 % | 71,2 % | 99,0 % |
| openai-o1-mini | 97,8 % | 98,0 % | 58,7 % | 98,9 % | 98,9 % | 62,1 % | 97,0 % | 96,9 % | 64,6 % | 98,9 % |
| openai-gpt-4o-mini | 97,5 % | 97,8 % | 76,7 % | 98,2 % | 98,3 % | 75,4 % | 98,6 % | 98,6 % | 72,6 % | 98,6 % |
| deepseek-deepseek-v3-chat | 98,3 % | 98,0 % | 58,6 % | 98,1 % | 98,1 % | 59,7 % | 97,6 % | 97,6 % | 60,6 % | 98,3 % |
| openai-gpt-4.1-mini | 96,8 % | 96,6 % | 78,5 % | 97,3 % | 98,0 % | 77,6 % | 97,4 % | 97,3 % | 76,3 % | 98,0 % |
| lambda-laama-3.1-8b-ohje | 96,8 % | 97,5 % | 59,9 % | 76,3 % | 97,8 % | 68,3 % | 91,9 % | 92,5 % | 59,6 % | 97,8 % |
| lambda-laama-3.1-405b | 97,7 % | 97,5 % | 62,6 % | 93,2 % | 96,6 % | 66,8 % | 95,5 % | 95,6 % | 62,0 % | 97,7 % |
| groq-laama-4-partio | 97,6 % | 97,3 % | 60,3 % | 68,5 % | 70,0 % | 64,8 % | 89,0 % | 89,6 % | 57,4 % | 97,6 % |
| openai-gpt-4.1-nano | 96,1 % | 96,8 % | 77,8 % | 97,1 % | 97,1 % | 75,5 % | 96,2 % | 96,4 % | 77,1 % | 97,1 % |
| microsoft-gpt-4o-mini | 93,4 % | 93,2 % | 77,8 % | 88,5 % | 81,3 % | 81,8 % | 91,3 % | 91,5 % | 77,2 % | 93,4 % |
| antrooppinen-claude-3-haiku | 90,2 % | 76,8 % | 78,7 % | 91,2 % | 80,1 % | 80,0 % | 87,9 % | 74,5 % | 77,9 % | 91,2 % |
| microsoft-gpt-4.1-nano | 89,5 % | 91,0 % | 84,0 % | 88,1 % | 82,4 % | 85,4 % | 86,6 % | 86,9 % | 80,5 % | 91,0 % |
| microsoft-gpt-4o | 89,9 % | 90,1 % | 78,0 % | 87,2 % | 81,4 % | 83,0 % | 87,3 % | 87,9 % | 77,7 % | 90,1 % |
| microsoft-gpt-4.1-mini | 89,7 % | 89,4 % | 75,4 % | 86,7 % | 80,4 % | 78,9 % | 86,6 % | 87,3 % | 76,0 % | 89,7 % |
| google-gemini-2.5-pro1 | 77,1 % | 74,3 % | 78,1 % | 83,1 % | 76,3 % | 82,4 % | 84,0 % | 78,5 % | 83,4 % | 84,0 % |
| google-gemini-1.5-flash | 81,0 % | 76,2 % | 80,2 % | 82,4 % | 78,3 % | 81,6 % | 83,5 % | 81,6 % | 82,8 % | 83,5 % |
| google-gemini-1.5-flash-light | 79,9 % | 74,6 % | 79,4 % | 79,7 % | 75,5 % | 79,0 % | 81,9 % | 77,8 % | 81,4 % | 81,9 % |
| amazon-nova-pro-v1 | 46,2 % | 57,9 % | 46,6 % | 77,5 % | 74,9 % | 57,3 % | 60,9 % | 60,6 % | 57,6 % | 77,5 % |
| microsoft-phi-3.5-mini-moe-instruct | 70,0 % | 70,0 % | 75,3 % | 75,3 % | 72,1 % | 76,9 % | 75,9 % | 72,5 % | 74,4 % | 76,9 % |
| amazon-nova-lite-v1 | 67,6 % | 68,3 % | 63,2 % | 71,2 % | 70,5 % | 67,7 % | 65,8 % | 65,5 % | 65,1 % | 71,2 % |
| Keskimäärin | 96,8 % | 96,8 % | 70,9 % | 93,2 % | 97,1 % | 71,8 % | 92,5 % | 93,3 % | 69,7 % | % |
