微軟安全研究團隊揭露了一種名為 “Whisper Leak” 的嚴重隱私漏洞。這是一種針對現代 AI 聊天服務的側信道攻擊，可能讓惡意用戶窺探到用戶與 AI 之間的對話內容。

這一攻擊的核心在于，它并不需要破解現有的 TLS 等加密協議，而是通過分析加密網絡流量的元數據，諸如數據包的大小、傳輸時序以及序列模式，從而推斷出用戶與 AI 的對話主題。由于 AI 服務為了提供流暢的體驗，通常采用逐個 token 流式傳輸應答的方式，這種做法在網絡層留下了獨特的 “指紋”，為攻擊提供了可行性。

研究人員訓練了機器學習模型，并通過收集大量 AI 應答的加密數據包軌跡，證明了這種攻擊的有效性。不同主題的對話產生了系統性差異的元數據模式。例如，涉及 “洗錢” 等敏感話題的提問，其應答數據包的節奏和大小與普通日常對話有顯著不同。在受控實驗中，分類器對于識別特定敏感話題的準確率超過了98%，顯示出其在現實世界中進行高精度監控的潛力。

該漏洞使得廣泛的 AI 聊天服務面臨系統性風險。攻擊者，特別是互聯網服務提供商（ISP）或公共 Wi-Fi 上的惡意行為者，可能利用 “Whisper Leak” 觀察用戶的網絡流量，從而識別和標記敏感對話。這對記者、活動家以及需要法律或醫療建議的普通用戶來說，構成了嚴重威脅。盡管對話內容本身是加密的，用戶的對話 “主題” 卻可能被泄露，從而引發后續審查或風險。

在微軟遵循負責任披露原則后，多家主流 AI 供應商迅速采取了應對措施。當前的緩解方案主要包括:通過隨機填充或內容混淆來打破數據包大小與內容長度的關聯;采用 tokens 批處理以降低時間精度;以及主動注入虛擬數據包以干擾流量模式。這些措施雖然提高了安全性，但也帶來了延遲增加和帶寬消耗增大的問題，服務商不得不在用戶體驗和隱私保護之間做出權衡。

對于普通用戶來說，處理高度敏感信息時，優先選擇非流式應答模式，并避免在不受信任的網絡中進行查詢，是當前有效的防護手段。

劃重點: