微软揭示Whisper Leak侧信道攻击，威胁AI聊天隐私

快速阅读: 微软揭示“Whisper Leak”侧信道攻击，即使数据加密，也能推断AI聊天主题，威胁用户隐私。研究显示，特定话题对话留下可识别的数字“指纹”，攻击者可高精度识别敏感对话。微软已通知相关公司采取缓解措施。

微软揭露了一种名为“Whisper Leak”的侧信道攻击，该攻击允许网络窃听者即使在数据加密的情况下也能推断出人工智能聊天的主题，从而威胁用户隐私。微软警告称，这一漏洞可能导致用户或企业与流式人工智能系统交谈时泄露敏感细节，造成严重的隐私风险。

如今，人工智能聊天机器人在日常生活及敏感领域（如医疗和法律）中扮演着重要角色。为了维护信任和隐私，保护用户数据的匿名化、加密以及保留政策至关重要。AI聊天机器人通过HTTPS（TLS）加密通信，确保了安全、认证的连接。语言模型以逐个标记的方式生成文本，实时传输输出以加快反馈速度。TLS利用非对称加密技术交换用于AES或ChaCha20等密码的对称密钥，使密文大小接近明文大小。最近的研究揭示了AI模型中存在的侧信道风险：攻击者可以通过推断标记长度、时间或缓存模式来猜测提示主题。微软的“Whisper Leak”进一步扩展了这些研究，展示了如何仅凭加密流量模式就能揭示对话主题。

微软研究人员训练了一个二元分类器，用于检测与语言模型的聊天是否涉及特定话题“洗钱的合法性”，而非一般流量。他们生成了100个与该话题相关的提示和超过11,000个无关提示，通过tcpdump捕获响应时间和数据包大小，同时随机化样本以避免缓存偏差。利用LightGBM、Bi-LSTM和BERT模型，他们测试了时间、大小和组合数据。许多模型的准确率（AUPRC）超过了98%，证明了特定话题的网络模式留下了可识别的数字“指纹”。

“我们使用精确召回曲线下的面积（AUPRC）评估性能，这是衡量不平衡数据集（多数为负样本，少数为正样本）中网络攻击成功度的指标。”微软发布的报告中写道。“从‘最佳总体’一栏可以看出，对于许多模型而言，网络攻击得分超过了98%。这表明，特定话题对话留下的独特数字‘指纹’足够明显，我们的AI驱动监听者能够在受控测试中可靠地识别它们。”

模拟现实监控场景显示，即便是在监测10,000次随机对话中只有一次涉及敏感话题的情况下，攻击者仍能以惊人的精度识别目标。许多测试的AI模型达到了100%的精确度，即所有被标记的对话都正确匹配了话题，同时检测到了5%-50%的目标对话。这意味着攻击者或机构能够可靠地发现讨论敏感问题的用户，尽管有加密保护。虽然测试数据有限制，但结果表明随着攻击者收集更多数据并改进模型，这种风险正在真实增长。

“在使用一个测试模型进行的扩展测试中，我们观察到随着数据集大小的增加，攻击准确性持续提高。”报告继续说道。“结合更复杂的攻击模型和多轮对话或多用户对话中更丰富的模式，这意味着有耐心和资源的网络攻击者可能达到比我们初步结果更高的成功率。”

微软已将其发现告知了OpenAI、Mistral、微软自身和xAI，这些公司实施了缓解措施以降低识别的风险。OpenAI和随后的微软Azure在流式响应中添加了混淆字段，插入随机文本以掩盖标记长度，显著降低了攻击的有效性；测试确认Azure的修复措施将风险降至非实际水平。Mistral通过引入新的“p”参数实现了类似的缓解措施。

尽管主要是AI提供者的问题，但用户也可以通过避免在不可信网络上讨论敏感话题、使用VPN、选择实施了缓解措施的提供商、选择非流式模型以及了解安全实践来增强隐私保护。

(以上内容均由Ai生成)