A Microsoft revelou detalhes de um novo e engenhoso ataque cibernético que pode comprometer a privacidade de conversas em modelos de linguagem grande (LLMs), mesmo quando a comunicação está criptografada. Batizado de Whisper Leak, este é um ataque side-channel que explora o tráfego de rede para inferir o tópico de uma conversa com chatbots de Inteligência Artificial.
O ataque foi descoberto por pesquisadores da Microsoft e detalhado em um relatório, mostrando que invasores passivos podem analisar o tamanho dos pacotes e o tempo de chegada durante o streaming de respostas do modelo para classificar o tema do prompt inicial. Isso significa que um adversário pode saber se um usuário está perguntando sobre “lavagem de dinheiro” ou “dissidência política”, por exemplo, mesmo que o conteúdo da mensagem esteja protegido por HTTPS.
Como o ataque Whisper Leak funciona?
O Whisper Leak tira proveito do modo de streaming dos LLMs, onde as respostas são enviadas em incrementos (tokens) em vez de uma única vez. Embora o tráfego seja criptografado, o tamanho e o tempo de chegada dos pacotes de dados variam de acordo com o conteúdo gerado. Os pesquisadores da Microsoft treinaram um classificador binário de aprendizado de máquina que, ao analisar essas sequências de tamanho e tempo, conseguiu diferenciar com alta precisão (acima de 98% em alguns modelos) se a conversa se encaixava em um tópico sensível predefinido.
Modelos populares de IA, incluindo os da Mistral, xAI, DeepSeek e OpenAI, foram testados e se mostraram altamente suscetíveis a este tipo de espionagem. A ameaça é considerada prática, especialmente para atores com recursos e paciência, como agências estatais ou provedores de internet que monitoram o tráfego de rede [1].
Mitigações e a Privacidade de Conversas AI
A boa notícia é que, após a divulgação responsável da Microsoft, provedores como OpenAI, Mistral e a própria Microsoft já implementaram mitigações. A contramedida mais eficaz envolve a adição de uma “sequência aleatória de texto de comprimento variável” a cada resposta, o que mascara o comprimento real de cada token e anula a eficácia do ataque side-channel.
Para os usuários preocupados com a privacidade de conversas AI, a Microsoft recomenda evitar discutir tópicos altamente sensíveis em redes não confiáveis, utilizar uma VPN para uma camada extra de proteção e optar por modelos de LLMs que não utilizam o modo de streaming, se disponíveis. O caso do Whisper Leak reforça a necessidade de mais segurança e cautela na integração de capacidades de IA, tanto para desenvolvedores quanto para usuários finais.
Qual a importância de proteger o tráfego criptografado de LLMs?
A proteção do tráfego de LLMs é crucial porque, como demonstrado pelo Whisper Leak, a criptografia HTTPS por si só não é suficiente para garantir a confidencialidade do que está sendo discutido. A capacidade de inferir o tópico de uma conversa pode ser usada para vigilância, censura ou para identificar alvos de ataques mais sofisticados. Este novo vetor de ataque marca uma transição de IA sendo usada apenas como ferramenta para IA integrada ao próprio malware, um sinal de que as defesas cibernéticas precisam evoluir rapidamente para acompanhar as novas ameaças.
“Se uma agência governamental ou provedor de serviços de internet estivesse monitorando o tráfego para um chatbot popular de IA, eles poderiam identificar de forma confiável usuários fazendo perguntas sobre tópicos sensíveis específicos – seja lavagem de dinheiro, dissidência política ou outros assuntos monitorados – mesmo que todo o tráfego esteja criptografado.” – Microsoft
O relatório completo da Microsoft também detalha como a eficácia do ataque pode melhorar à medida que o invasor coleta mais amostras de treinamento ao longo do tempo, transformando-o em uma ameaça prática e escalável. É fundamental que as organizações que adotam modelos de código aberto implementem salvaguardas adicionais para mitigar riscos operacionais, incluindo avaliações periódicas de “red-teaming” de IA.
Fonte: The Hacker News
