微軟研究人員發(fā)現(xiàn) , 惡意攻擊者可以通過(guò)側(cè)信道攻擊來(lái)推測(cè)用戶(hù)與大語(yǔ)言模型討論的話(huà)題 。 研究人員向The Register表示 , 包括Anthropic、AWS、DeepSeek和Google在內(nèi)的一些服務(wù)提供商的模型仍存在漏洞 , 這給個(gè)人用戶(hù)和企業(yè)通信帶來(lái)了風(fēng)險(xiǎn) 。
側(cè)信道攻擊是通過(guò)監(jiān)控間接信號(hào)(如功耗、電磁輻射或時(shí)序)來(lái)竊取加密密鑰和其他機(jī)密信息的攻擊方式 。 雖然此類(lèi)攻擊通常針對(duì)硬件(如著名的Spectre、Meltdown和相關(guān)的CPU漏洞) , 但研究人員一直在探索大語(yǔ)言模型中的側(cè)信道漏洞 。
微軟研究人員成功開(kāi)發(fā)了一種名為\"Whisper Leak\"的攻擊方法 , 該方法通過(guò)分析流式響應(yīng)中的數(shù)據(jù)包大小和時(shí)序模式 , 從加密的大語(yǔ)言模型查詢(xún)中推斷提示詞的主題 。
流式模型以增量方式向用戶(hù)發(fā)送響應(yīng) , 以小塊或Token的形式逐步傳輸 , 而不是一次性發(fā)送完整響應(yīng) 。 這使得它們?nèi)菀资艿街虚g人攻擊 , 具備網(wǎng)絡(luò)流量攔截能力的攻擊者可以嗅探這些大語(yǔ)言模型Token 。
研究人員Jonathan Bar Or和Geoff McDonald寫(xiě)道:\"能夠觀(guān)察加密流量的網(wǎng)絡(luò)攻擊者(例如 , 在互聯(lián)網(wǎng)服務(wù)提供商層面的國(guó)家級(jí)行為者、本地網(wǎng)絡(luò)中的某人 , 或連接到同一Wi-Fi路由器的人)可以使用這種網(wǎng)絡(luò)攻擊來(lái)推斷用戶(hù)的提示詞是否涉及特定主題 。 \"
他們補(bǔ)充說(shuō):\"這對(duì)生活在壓迫性政府下的用戶(hù)構(gòu)成了現(xiàn)實(shí)世界的風(fēng)險(xiǎn) , 因?yàn)檫@些政府可能會(huì)針對(duì)抗議、禁止材料、選舉過(guò)程或新聞等主題進(jìn)行監(jiān)控 。 \"
微軟已向受影響的供應(yīng)商披露了該漏洞 , 并表示其中一些供應(yīng)商——具體包括Mistral、微軟、OpenAI和xAI——都已實(shí)施緩解措施來(lái)保護(hù)其模型免受此類(lèi)側(cè)信道攻擊 。
微軟還測(cè)試了對(duì)其他提供商和模型的攻擊 , 包括阿里巴巴Qwen、Anthropic的Claude、Amazon Nova、DeepSeek、Lambda Labs和Google的Gemini 。 根據(jù)有關(guān)Whisper Leak的相關(guān)技術(shù)論文 , 一些提供商以各種理由拒絕實(shí)施修復(fù)措施 , 而其他幾家供應(yīng)商在多次跟進(jìn)嘗試后仍未響應(yīng) 。
據(jù)Bar Or向The Register表示 , 情況仍然如此:\"到目前為止 , 我們還沒(méi)有收到其他供應(yīng)商關(guān)于額外緩解措施的消息 。 \"
The Register也聯(lián)系了這些供應(yīng)商 , 但沒(méi)有收到任何回復(fù) 。
Bar Or說(shuō):\"據(jù)我們所知 , 目前在野外還沒(méi)有攻擊 。 但是 , 重要的是要注意 , 具備保存網(wǎng)絡(luò)數(shù)據(jù)包能力的攻擊者可能會(huì)離線(xiàn)執(zhí)行此攻擊 。 攻擊本身具有概率性質(zhì) , 這意味著不同的供應(yīng)商會(huì)以不同的方式受到影響 。 \"
概念驗(yàn)證展示攻擊工作原理
微軟團(tuán)隊(duì)制作了Whisper Leak攻擊演示和概念驗(yàn)證代碼 , 使用模型來(lái)得出主題\"敏感\(zhòng)"的概率(介于0.0和1.0之間)——在這種情況下是洗錢(qián) 。
對(duì)于這個(gè)概念驗(yàn)證 , 研究人員使用語(yǔ)言模型生成了100個(gè)關(guān)于洗錢(qián)合法性問(wèn)題的變體 , 將它們與一般流量混合 , 然后訓(xùn)練一個(gè)二元分類(lèi)器來(lái)區(qū)分目標(biāo)主題和背景查詢(xún) 。
然后他們分別從每個(gè)語(yǔ)言模型服務(wù)收集數(shù)據(jù) , 通過(guò)網(wǎng)絡(luò)嗅探(通過(guò)tcpdump)記錄響應(yīng)時(shí)間和數(shù)據(jù)包大小 。 此外 , 他們打亂了正負(fù)樣本收集的順序 , 并通過(guò)在單詞之間插入額外空格來(lái)引入變體——這有助于避免緩存干擾風(fēng)險(xiǎn) 。
從所有模型收集數(shù)據(jù)后 , 研究人員評(píng)估了三種不同的機(jī)器學(xué)習(xí)模型 , 并在三種模式下評(píng)估每種模型(僅時(shí)間、僅數(shù)據(jù)包大小或兩者兼有):
LightGBM:一個(gè)梯度提升框架 。
基于LSTM的(Bi-LSTM):適用于序列數(shù)據(jù)的遞歸神經(jīng)網(wǎng)絡(luò)架構(gòu) 。
基于BERT的:使用預(yù)訓(xùn)練的Transformer模型(DistilBERT-uncased) , 通過(guò)表示大小和時(shí)間桶的擴(kuò)展Token進(jìn)行序列分類(lèi)適應(yīng) 。
研究人員隨后使用精確率-召回率曲線(xiàn)下面積(AUPRC)來(lái)衡量模型的性能 。
在幾個(gè)模型中 , 包括阿里巴巴、DeepSeek、Mistral、微軟、xAI和OpenAI托管的模型 , 分類(lèi)器實(shí)現(xiàn)了超過(guò)98%的AUPRC , 表明敏感流量和正常流量之間幾乎完美的分離 。
然后他們模擬了一個(gè)\"更現(xiàn)實(shí)的監(jiān)控場(chǎng)景\" , 其中攻擊者監(jiān)控10000次對(duì)話(huà) , 其中只有一次涉及目標(biāo)主題 。 他們多次進(jìn)行了這個(gè)測(cè)試 , 在許多情況下沒(méi)有誤報(bào) , 同時(shí)在5%到50%的時(shí)間內(nèi)捕獲洗錢(qián)消息 。 他們寫(xiě)道:
對(duì)于許多測(cè)試模型 , 網(wǎng)絡(luò)攻擊者可以實(shí)現(xiàn)100%的精確率(它標(biāo)記為與目標(biāo)主題相關(guān)的所有對(duì)話(huà)都是正確的) , 同時(shí)仍然捕獲5-50%的目標(biāo)對(duì)話(huà)……從這個(gè)角度來(lái)看:如果政府機(jī)構(gòu)或互聯(lián)網(wǎng)服務(wù)提供商監(jiān)控流向流行AI聊天機(jī)器人的流量 , 他們可以可靠地識(shí)別詢(xún)問(wèn)特定敏感主題問(wèn)題的用戶(hù)——無(wú)論是洗錢(qián)、政治異議還是其他受監(jiān)控主題——即使所有流量都是加密的 。
【大語(yǔ)言模型側(cè)信道攻擊可能泄露用戶(hù)對(duì)話(huà)主題】有幾種不同的方法可以防止大小和時(shí)序信息泄露 。 微軟和OpenAI采用了Cloudflare引入的方法來(lái)防范類(lèi)似的側(cè)信道攻擊:在響應(yīng)字段中添加隨機(jī)文本序列以改變Token大小 , 使它們不可預(yù)測(cè) , 從而主要防御基于大小的攻擊 。
研究人員在周五的博客中說(shuō):\"我們已經(jīng)直接驗(yàn)證了微軟Azure的緩解措施成功將攻擊效果降低到我們認(rèn)為不再是實(shí)際風(fēng)險(xiǎn)的水平 。 \"
其他緩解措施包括在傳輸前將多個(gè)Token分組 。 這減少了可觀(guān)察的網(wǎng)絡(luò)事件數(shù)量并模糊了單個(gè)Token的特征 。
或者 , 提供商可以在隨機(jī)間隔注入合成數(shù)據(jù)包 , 這會(huì)混淆大小和時(shí)序模式 。
Q&A
Q1:什么是Whisper Leak攻擊?它是如何工作的?
A:Whisper Leak是微軟研究人員開(kāi)發(fā)的一種側(cè)信道攻擊方法 , 通過(guò)分析大語(yǔ)言模型流式響應(yīng)中的數(shù)據(jù)包大小和時(shí)序模式 , 從加密查詢(xún)中推斷用戶(hù)提示詞的主題 。 攻擊者可以監(jiān)控網(wǎng)絡(luò)流量 , 即使在加密情況下也能推測(cè)對(duì)話(huà)內(nèi)容 。
Q2:哪些大語(yǔ)言模型提供商受到這種攻擊影響?
A:研究顯示多家提供商受影響 , 包括阿里巴巴Qwen、Anthropic的Claude、Amazon Nova、DeepSeek、Lambda Labs和Google的Gemini等 。 其中Mistral、微軟、OpenAI和xAI已實(shí)施緩解措施 , 但其他提供商尚未響應(yīng)或拒絕修復(fù) 。
Q3:如何防護(hù)Whisper Leak攻擊?有什么有效方法?
A:主要防護(hù)方法包括:在響應(yīng)中添加隨機(jī)文本序列使Token大小不可預(yù)測(cè);將多個(gè)Token分組后再傳輸以減少可觀(guān)察網(wǎng)絡(luò)事件;在隨機(jī)間隔注入合成數(shù)據(jù)包來(lái)混淆大小和時(shí)序模式 。 微軟Azure已驗(yàn)證這些緩解措施能有效降低攻擊風(fēng)險(xiǎn) 。
推薦閱讀
- Ironclad OS項(xiàng)目:用Ada語(yǔ)言構(gòu)建Unix內(nèi)核
- 網(wǎng)絡(luò)安全2026年六大預(yù)測(cè)與應(yīng)對(duì)藍(lán)圖
- 2025AI紅利爆發(fā)!新智元?jiǎng)?chuàng)始人與5位清華系大咖「探索對(duì)話(huà)」
- Majestic Labs獲1億美元融資推出大內(nèi)存AI服務(wù)器
- 3B!性能直逼旗艦,百度又一新模型開(kāi)源,圖文視頻全能解
- 上交×螞蟻發(fā)布 DiagGym:以世界模型驅(qū)動(dòng)交互式醫(yī)學(xué)診斷智能體
- 2025寶山?智能機(jī)器人產(chǎn)業(yè)大會(huì)暨嘉年華啟動(dòng)在即
- 下一個(gè)周期,我們?yōu)槭裁幢仨氷P(guān)注這十大黃金賽道?
- 榮耀400系列全球發(fā)貨量突破600萬(wàn)臺(tái),銷(xiāo)售火爆背后見(jiàn)證強(qiáng)大產(chǎn)品力
- iPhone 18 Pro Max 提前曝光,或迎來(lái) 9 大新升級(jí)