Ši atakos technika, vadinama „Whisper Leak“, yra „man-in-the-middle“ tipo ataka, kurios metu programišiai gali perimti pranešimus, kol jie perduodami tarp serverių.
Tyrėjai aprašė šią ataką tyrime, kuris lapkričio 5 d. buvo įkeltas į „arXiv“ duomenų bazę. 2025 m. birželį jie informavo didžiųjų kalbos modelių (LLM) teikėjus. Kai kurie, įskaitant „Microsoft“ ir „ChatGPT“ kūrėją „OpenAI“, sureagavo į tai įvertindami riziką ir įdiegdami pataisas. Tačiau kiti LLM teikėjai atsisakė įdiegti pataisas, nurodydami įvairias priežastis. Kai kurie net nereagavo į naujus atradimus, teigia tyrėjai, kurie susilaikė nuo konkrečių platformų, kurios nepadarė pataisų, pavadinimų.
„Nesu nustebęs, – sako kibernetinio saugumo analitikas Dave'as Learas. – LLM yra potenciali aukso kasykla, atsižvelgiant į informacijos, kurią žmonės į juos įveda, kiekį, jau nekalbant apie medicininių duomenų kiekį, kuris gali būti juose, dabar, kai ligoninės naudoja juos tyrimų duomenims rūšiuoti, kažkas anksčiau ar vėliau turėjo rasti būdą, kaip išgauti tą informaciją.“
DI pokalbių robotų pažeidžiamumų atskleidimas
Generatyvinio DI sistemos – tokios kaip „Chat GPT“ – yra galingos DI priemonės, galinčios generuoti atsakymus remiantis serija užklausų, kaip tai daro virtualūs asistentai išmaniuosiuose telefonuose. LLM dalis yra mokoma naudoti didelius duomenų kiekius, kad galėtų generuoti tekstinius atsakymus.
Vartotojų pokalbiai su LLM paprastai yra apsaugoti TLS protokolu, kuris yra šifravimo protokolas, neleidžiantis pašaliniams asmenims skaityti komunikacijos. Tačiau tyrėjai sugebėjo perimti ir išsiaiškinti turinį per vartotojo ir pokalbių boto komunikacijos metaduomenis.
Metaduomenys iš esmės yra duomenys apie duomenis, įskaitant dydį ir dažnumą, ir dažnai jie gali būti vertingesni nei pačių pranešimų turinys. Nors žmonių ir LLM pranešimų turinys liko saugus, perimdami pranešimus ir analizuodami metaduomenis, tyrėjai sugebėjo išsiaiškinti pranešimų temą.
Jie tai pasiekė analizuodami šifruotų duomenų paketų iš LLM atsakymų – mažų duomenų vienetų, siunčiamų per tinklą – dydį. Mokslininkai sugebėjo sukurti seriją atakų technikų, pagrįstų laiko intervalais, išvestimis ir žodžių ilgio seka, kad atkurtų įtikinamus sakinius pranešimuose.
Daugeliu atžvilgių „Whisper Leak“ ataka naudoja pažangesnę Jungtinės Karalystės 2016 m. Tyrimų įgaliojimų akto interneto stebėjimo politikos versiją, kuri identifikuoja pranešimų turinį pagal siuntėją, laiką, dydį ir dažnumą, bet neskaito pačių pranešimų turinio.
„Pateiksiu pavyzdį: jei vyriausybinė agentūra ar interneto paslaugų teikėjas stebėtų populiaraus DI pokalbių boto srautą, jie galėtų patikimai identifikuoti vartotojus, kurie užduoda klausimus apie konkrečias jautrias temas – ar tai būtų pinigų plovimas, politiniai nesutarimai ar kiti stebimi subjektai – net jei visas srautas yra šifruotas“, – „Microsoft Defender Security Research Team“ paskelbtame tinklaraščio įraše teigė saugumo tyrėjai Jonathanas Baras Oras ir Geoffas McDonaldas.
LLM teikėjai gali naudoti įvairias technikas, kad sumažintų šį pavojų. Pavyzdžiui, atsakymo laukams galima pridėti atsitiktinius papildymus – atsitiktinius baitus, kad sutrukdytų išvadų darymą, taip padidinant jų ilgį ir sumažinant nuspėjamumą, iškreipiant paketų dydžius.
„Whisper Leak“ esmė yra LLM diegimo architektūros pasekmė. Šių pažeidžiamumų sumažinimas nėra neįveikiamas uždavinys, tačiau kaip teigia tyrėjai, ne visi LLM teikėjai yra įgyvendinę šias pataisas.
Kol teikėjai nesugebės išspręsti pokalbių robotų trūkumų, mokslininkai teigia, kad vartotojai turėtų vengti aptarinėti jautrias temas nepatikimuose tinkluose ir žinoti, ar jų teikėjai įgyvendino rizikos mažinimo priemones. Virtualieji privatūs tinklai (VPN) taip pat gali būti naudojami kaip papildoma apsaugos priemonė – nes jie paslepia vartotojo tapatybę ir buvimo vietą, rašo „Live Science“.