A Microsoft detalhou um novo tipo de ataque do tipo side-channel, batizado de Whisper Leak, capaz de inferir temas de conversas entre usuários e modelos de linguagem, mesmo quando essas interações ocorrem sob conexões criptografadas por TLS (HTTPS). A técnica explora características do tráfego de rede em sessões de IA generativa operando no modo de resposta em streaming.
O ataque não exige acesso ao conteúdo da conversa. Em vez disso, ele analisa padrões de tamanho e tempo entre pacotes de dados trocados entre o usuário e o modelo de IA. Com isso, é possível deduzir se o tema da conversa envolve tópicos sensíveis, como política, segurança nacional, saúde mental ou crimes financeiros. A Microsoft demonstrou que o ataque pode ser realizado por qualquer ator com visibilidade sobre o tráfego de rede, como provedores de internet, administradores de redes locais ou até mesmo um atacante conectado à mesma rede Wi-Fi pública da vítima. Durante os testes, modelos populares de empresas como OpenAI, Microsoft, xAI, Mistral e Alibaba apresentaram alta taxa de vulnerabilidade, com acurácia superior a 98% na detecção dos temas das conversas.
Já modelos do Google e da Amazon mostraram maior resiliência, devido à forma como agrupam e enviam tokens, dificultando a análise de padrão de pacotes. A técnica foi validada com três modelos de classificação baseados em machine learning: LightGBM, Bi-LSTM e BERT. Os pesquisadores treinaram esses modelos para identificar temas com base na sequência de pacotes, mostrando que quanto mais dados o atacante tiver, maior será a precisão do ataque. Após a divulgação responsável, alguns provedores de IA já começaram a implementar mitigações, como a adição de respostas com tamanhos e tempos de envio variáveis, com o objetivo de embaralhar os padrões de tráfego e reduzir a eficácia do ataque.
