微軟研究人員發現,惡意攻擊者可以通過側信道攻擊來推測用戶與大語言模型討論的話題。研究人員向The Register表示,包括Anthropic、AWS、DeepSeek
和Google在內的一些服務提供商的模型仍存在漏洞,這給個人用戶和企業通信帶來了風險。
側信道攻擊是通過監控間接信號(如功耗、電磁輻射或時序)來竊取加密密鑰和其他機密資訊的攻擊方式。雖然此類攻擊通常針對硬體(如著名的Spectre、Meltdown和相關的CPU漏洞),但研究人員一直在探索大語言模型中的側信道漏洞。
微軟研究人員成功開發了一種名為"Whisper Leak"的攻擊方法,該方法通過分析流式響應中的數據包大小和時序模式,從加密的大語言模型查詢中推斷提示詞的主題。
流式模型以增量方式向用戶發送響應,以小塊或Token的形式逐步傳輸,而不是一次性發送完整響應。這使得它們容易受到中間人攻擊,具備網路流量攔截能力的攻擊者可以嗅探這些大語言模型Token。
研究人員Jonathan Bar Or和Geoff McDonald寫道:"能夠觀察加密流量的網路攻擊者(例如,在網際網路服務提供商層面的國家級行為者、本地網路中的某人,或連接到同一Wi-Fi路由器的人)可以使用這種網路攻擊來推斷用戶的提示詞是否涉及特定主題。"
他們補充說:"這對生活在壓迫性政府下的用戶構成了現實世界的風險,因為這些政府可能會針對抗議、禁止材料、選舉過程或新聞等主題進行監控。"
微軟已向受影響的供應商披露了該漏洞,並表示其中一些供應商——具體包括Mistral、微軟、OpenAI和xAI——都已實施緩解措施來保護其模型免受此類側信道攻擊。
微軟還測試了對其他提供商和模型的攻擊,包括阿里巴巴Qwen、Anthropic的Claude、Amazon Nova、DeepSeek、Lambda Labs和Google的Gemini。根據有關Whisper Leak的相關技術論文,一些提供商以各種理由拒絕實施修復措施,而其他幾家供應商在多次跟進嘗試後仍未響應。
據Bar Or向The Register表示,情況仍然如此:"到目前為止,我們還沒有收到其他供應商關於額外緩解措施的消息。"
The Register也聯繫了這些供應商,但沒有收到任何回復。
Bar Or說:"據我們所知,目前在野外還沒有攻擊。但是,重要的是要注意,具備保存網路數據包能力的攻擊者可能會離線執行此攻擊。攻擊本身具有概率性質,這意味著不同的供應商會以不同的方式受到影響。"
概念驗證展示攻擊工作原理
微軟團隊製作了Whisper Leak攻擊演示和概念驗證代碼,使用模型來得出主題"敏感"的概率(介於0.0和1.0之間)——在這種情況下是洗錢。
對於這個概念驗證,研究人員使用語言模型生成了100個關於洗錢合法性問題的變體,將它們與一般流量混合,然後訓練一個二元分類器來區分目標主題和背景查詢。
然後他們分別從每個語言模型服務收集數據,通過網路嗅探(通過tcpdump)記錄響應時間和數據包大小。此外,他們打亂了正負樣本收集的順序,並通過在單詞之間插入額外空格來引入變體——這有助於避免緩存干擾風險。
從所有模型收集數據後,研究人員評估了三種不同的機器學習模型,並在三種模式下評估每種模型(僅時間、僅數據包大小或兩者兼有):
LightGBM:一個梯度提升框架。
基於LSTM的(Bi-LSTM):適用於序列數據的遞歸神經網路架構。
基於BERT的:使用預訓練的Transformer模型(DistilBERT-uncased),通過表示大小和時間桶的擴展Token進行序列分類適應。
研究人員隨後使用精確率-召回率曲線下面積(AUPRC)來衡量模型的性能。
在幾個模型中,包括阿里巴巴、DeepSeek、Mistral、微軟、xAI和OpenAI託管的模型,分類器實現了超過98%的AUPRC,表明敏感流量和正常流量之間幾乎完美的分離。
然後他們模擬了一個"更現實的監控場景",其中攻擊者監控10000次對話,其中只有一次涉及目標主題。他們多次進行了這個測試,在許多情況下沒有誤報,同時在5%到50%的時間內捕獲洗錢消息。他們寫道:
對於許多測試模型,網路攻擊者可以實現100%的精確率(它標記為與目標主題相關的所有對話都是正確的),同時仍然捕獲5-50%的目標對話……從這個角度來看:如果政府機構或網際網路服務提供商監控流向流行AI聊天機器人的流量,他們可以可靠地識別詢問特定敏感主題問題的用戶——無論是洗錢、政治異議還是其他受監控主題——即使所有流量都是加密的。
有幾種不同的方法可以防止大小和時序資訊泄露。微軟和OpenAI採用了Cloudflare引入的方法來防範類似的側信道攻擊:在響應欄位中添加隨機文本序列以改變Token大小,使它們不可預測,從而主要防禦基於大小的攻擊。
研究人員在周五的博客中說:"我們已經直接驗證了微軟Azure的緩解措施成功將攻擊效果降低到我們認為不再是實際風險的水平。"
其他緩解措施包括在傳輸前將多個Token分組。這減少了可觀察的網路事件數量並模糊了單個Token的特徵。
或者,提供商可以在隨機間隔注入合成數據包,這會混淆大小和時序模式。
Q&A
Q1:什麼是Whisper Leak攻擊?它是如何工作的?
A:Whisper Leak是微軟研究人員開發的一種側信道攻擊方法,通過分析大語言模型流式響應中的數據包大小和時序模式,從加密查詢中推斷用戶提示詞的主題。攻擊者可以監控網路流量,即使在加密情況下也能推測對話內容。
Q2:哪些大語言模型提供商受到這種攻擊影響?
A:研究顯示多家提供商受影響,包括阿里巴巴Qwen、Anthropic的Claude、Amazon Nova、DeepSeek、Lambda Labs和Google的Gemini等。其中Mistral、微軟、OpenAI和xAI已實施緩解措施,但其他提供商尚未響應或拒絕修復。
Q3:如何防護Whisper Leak攻擊?有什麼有效方法?
A:主要防護方法包括:在響應中添加隨機文本序列使Token大小不可預測;將多個Token分組後再傳輸以減少可觀察網路事件;在隨機間隔注入合成數據包來混淆大小和時序模式。微軟Azure已驗證這些緩解措施能有效降低攻擊風險。
