在看似固若金汤的加密网络中,一个名为“Whisper Leak”的幽灵,正在悄然“旁听”你与AI之间的私密对话。
微软的安全研究团队,近日公开揭露了这一严重的新型隐私漏洞。
这并非又一次针对加密协议本身的暴力破解。它是一种更为隐蔽、也更为巧妙的“侧信道攻击”(Side-channel Attack)。
攻击者无需解密任何一个数据包,只需通过分析加密网络流量的“元数据”——诸如数据包的大小、传输的时序以及序列模式——就能以惊人的准确率,推断出用户与AI聊天的主题。
这场攻击得以实现的核心, ironically(讽刺地),源于AI聊天服务为了追求极致用户体验而采用的一种通用技术:逐个token的流式传输。
当你向AI提出一个问题后,为了让你能尽快看到回答,服务器并非在完全生成好答案后才一次性发给你,而是会像打字机一样,逐个“token”(可以理解为一个词或一个字)地、流式地将答案传输过来。
这种做法,在网络层面上,留下了一种独特的、可被识别的“指纹”。
不同主题的对话,其回答的长度、用词的复杂度和句式结构,都会有所不同。这就导致了其在网络上传输时,所产生的加密数据包的大小、发送的节奏和序列模式,会呈现出系统性的差异。
微软的研究人员,正是利用了这一点。
他们通过收集海量的、不同主题的AI应答的加密数据包轨迹,训练了一个专门的机器学习分类器。
实验结果令人不寒而栗:
当被用于识别特定敏感话题(例如,涉及“洗钱”的提问)时,该分类器的准确率,超过了98%。
这意味着,一个范围极其广泛的、系统性的风险,已经暴露在所有主流的AI聊天服务面前。
一个潜在的攻击者——例如,控制着网络节点的互联网服务提供商(ISP),或者公共Wi-Fi网络中的恶意行为者——现在有能力,在不破解任何加密的情况下,对用户的网络流量进行监控,并识别和标记出那些他们感兴趣的、包含敏感主题的AI对话。
对于记者、社会活动家,以及那些正在寻求私密的法律或医疗建议的普通用户而言,这构成了严重的隐私威胁。
尽管他们对话的具体内容本身,仍然是加密的、安全的,但他们正在讨论的“主题”,却可能被完全泄露。这种主题的泄露,足以引发后续的审查、歧视或其他形式的风险。
在微软遵循“负责任披露”原则,提前向业界通报后,多家主流的AI供应商,已经迅速采取了应对措施。
目前的缓解方案,本质上都是在试图“混淆”这种网络流量的“指-纹”:
-
填充与混淆: 通过在真实的数据包中,随机填充一些无意义的数据,来打破数据包大小与内容长度之间的固定关联。
-
批处理: 将多个tokens打包在一起,进行批量发送,以降低传输时序上的精度,模糊其节奏特征。
-
注入噪声: 主动地、随机地注入一些虚拟的“诱饵”数据包,以干扰攻击者对流量模式的分析。
然而,所有这些安全措施,都附带着一个共同的代价:它们会不可避免地增加数据传输的延迟,并消耗更多的网络带宽。
服务商们,被迫在极致的用户体验(低延迟的流式输出)与更强的隐私保护(模糊化的数据传输)之间,做出一个艰难的权衡。
对于普通用户而言,在这一漏洞被更完美地修复之前,微软的研究团队也给出了两条简单而有效的自我防护建议:
-
在处理高度敏感的信息时,如果服务允许,优先选择“非流式”的应答模式(即等待AI完全生成答案后一次性显示)。
-
避免在任何不受信任的网络环境中(如公共Wi-Fi),进行敏感的AI查询。
Whisper Leak漏洞的揭露,为整个AI行业敲响了警钟。它证明了,在追求更智能、更流畅的人机交互时,我们可能在不经意间,为那些潜藏在网络深处的“窃听者”,打开了一扇全新的、意想不到的后门。
