Исследователи в области кибербезопасности из Microsoft обнаружили критическую уязвимость в современных системах искусственного интеллекта (ИИ) и больших языковых моделях (LLM), которая ставит под угрозу конфиденциальность пользователей. Группа Microsoft Defender Security Research Team выявила архитектурный недостаток, позволяющий злоумышленникам обходить шифрование Transport Layer Security (TLS). Несмотря на то что протокол TLS предназначен для защиты от прослушивания, новый метод дает возможность перехватывать и расшифровывать содержание бесед между пользователями и популярными чат-ботами.
Атака, получившая название Whisper Leak, классифицируется как атака типа «человек посередине». Хакеры, использующие этот метод, не взламывают коды шифрования напрямую. Вместо этого перехват происходит во время передачи сообщений между серверами посредством анализа метаданных. Изучая такие метрики, как размер зашифрованных пакетов данных, частоту их отправки, тайминги, выходные данные и последовательность длины токенов, злоумышленники могут реконструировать правдоподобные предложения. Это позволяет им делать выводы о теме разговора и даже восстанавливать его содержание, не имея доступа к исходному тексту.
Технические подробности этой угрозы были изложены в исследовании, загруженном в базу препринтов arXiv 5 ноября. Ключевую роль в выявлении уязвимости сыграли исследователи безопасности из Microsoft Джонатан Бар Ор и Джефф Макдональд. Согласно представленным данным, исследователи проинформировали провайдеров LLM о проблеме в июне 2025 года, что запустило процесс оценки рисков и разработки обновлений безопасности. Данный дефект описывается экспертами как неизбежное «архитектурное следствие» того, как именно развертываются современные языковые модели.
Аналитик по кибербезопасности Дэйв Лир, которого цитирует издание Live Science, отметил, что результаты исследования его не удивили. Он охарактеризовал большие языковые модели как «потенциальную золотую жилу» для злоумышленников из-за огромного объема пользовательского ввода. Лир особо подчеркнул риски, связанные с медицинскими данными, так как больницы все чаще используют ИИ для сортировки и анализа результатов тестов пациентов, что делает эту информацию уязвимой для перехвата.
Последствия Whisper Leak выходят за рамки частного хакинга и затрагивают вопросы государственной слежки. Эксперты сравнивают атаку с продвинутой версией методов, описанных в Акте о следственных полномочиях Великобритании 2016 года (U.K. Investigatory Powers Act 2016). Спецслужбы или интернет-провайдеры могут использовать эту технологию для идентификации пользователей, обсуждающих чувствительные темы, такие как отмывание денег или политическое инакомыслие, даже если их трафик формально защищен шифрованием.
Реакция индустрии на обнаруженную уязвимость оказалась неоднородной. Компании Microsoft и OpenAI, разработчик ChatGPT, оперативно оценили риски и внедрили исправления в свои системы. В то же время некоторые неназванные провайдеры LLM отказались вносить изменения, ссылаясь на различные обоснования, а часть компаний вовсе не ответила на предупреждения исследователей.
Устранение уязвимости на стороне провайдера, по словам исследователей, «не является непреодолимой задачей». Основным решением является метод «случайного заполнения» (random padding). Он подразумевает добавление случайных байтов в поля ответа для увеличения длины пакетов и искажения их размера. Это нарушает паттерны, необходимые для успешного проведения атаки Whisper Leak, делая анализ метаданных бесполезным для злоумышленников.
Для обычных пользователей эксперты разработали ряд рекомендаций по защите данных. Прежде всего, следует избегать обсуждения конфиденциальных тем при подключении к ненадежным сетям. Также рекомендуется проверять, внедрил ли конкретный провайдер ИИ необходимые меры защиты. В качестве дополнительного уровня безопасности настоятельно советуется использование VPN (виртуальных частных сетей) для скрытия личности и местоположения пользователя.
Обнаружение Whisper Leak дополняет растущий список проблем безопасности, связанных с ИИ. В контексте этой темы упоминаются и другие тревожные сообщения, например, о том, что «ИИ может использовать онлайн-изображения как бэкдор в ваш компьютер», а также дискуссии о том, «что такое тест Тьюринга и как развитие генеративного ИИ могло сломать знаменитую игру в имитацию». Как отмечается в сопутствующих материалах, «ваши данные компрометируются намного быстрее, чем когда-либо прежде», что требует от пользователей повышенной бдительности.
Изображение носит иллюстративный характер
Атака, получившая название Whisper Leak, классифицируется как атака типа «человек посередине». Хакеры, использующие этот метод, не взламывают коды шифрования напрямую. Вместо этого перехват происходит во время передачи сообщений между серверами посредством анализа метаданных. Изучая такие метрики, как размер зашифрованных пакетов данных, частоту их отправки, тайминги, выходные данные и последовательность длины токенов, злоумышленники могут реконструировать правдоподобные предложения. Это позволяет им делать выводы о теме разговора и даже восстанавливать его содержание, не имея доступа к исходному тексту.
Технические подробности этой угрозы были изложены в исследовании, загруженном в базу препринтов arXiv 5 ноября. Ключевую роль в выявлении уязвимости сыграли исследователи безопасности из Microsoft Джонатан Бар Ор и Джефф Макдональд. Согласно представленным данным, исследователи проинформировали провайдеров LLM о проблеме в июне 2025 года, что запустило процесс оценки рисков и разработки обновлений безопасности. Данный дефект описывается экспертами как неизбежное «архитектурное следствие» того, как именно развертываются современные языковые модели.
Аналитик по кибербезопасности Дэйв Лир, которого цитирует издание Live Science, отметил, что результаты исследования его не удивили. Он охарактеризовал большие языковые модели как «потенциальную золотую жилу» для злоумышленников из-за огромного объема пользовательского ввода. Лир особо подчеркнул риски, связанные с медицинскими данными, так как больницы все чаще используют ИИ для сортировки и анализа результатов тестов пациентов, что делает эту информацию уязвимой для перехвата.
Последствия Whisper Leak выходят за рамки частного хакинга и затрагивают вопросы государственной слежки. Эксперты сравнивают атаку с продвинутой версией методов, описанных в Акте о следственных полномочиях Великобритании 2016 года (U.K. Investigatory Powers Act 2016). Спецслужбы или интернет-провайдеры могут использовать эту технологию для идентификации пользователей, обсуждающих чувствительные темы, такие как отмывание денег или политическое инакомыслие, даже если их трафик формально защищен шифрованием.
Реакция индустрии на обнаруженную уязвимость оказалась неоднородной. Компании Microsoft и OpenAI, разработчик ChatGPT, оперативно оценили риски и внедрили исправления в свои системы. В то же время некоторые неназванные провайдеры LLM отказались вносить изменения, ссылаясь на различные обоснования, а часть компаний вовсе не ответила на предупреждения исследователей.
Устранение уязвимости на стороне провайдера, по словам исследователей, «не является непреодолимой задачей». Основным решением является метод «случайного заполнения» (random padding). Он подразумевает добавление случайных байтов в поля ответа для увеличения длины пакетов и искажения их размера. Это нарушает паттерны, необходимые для успешного проведения атаки Whisper Leak, делая анализ метаданных бесполезным для злоумышленников.
Для обычных пользователей эксперты разработали ряд рекомендаций по защите данных. Прежде всего, следует избегать обсуждения конфиденциальных тем при подключении к ненадежным сетям. Также рекомендуется проверять, внедрил ли конкретный провайдер ИИ необходимые меры защиты. В качестве дополнительного уровня безопасности настоятельно советуется использование VPN (виртуальных частных сетей) для скрытия личности и местоположения пользователя.
Обнаружение Whisper Leak дополняет растущий список проблем безопасности, связанных с ИИ. В контексте этой темы упоминаются и другие тревожные сообщения, например, о том, что «ИИ может использовать онлайн-изображения как бэкдор в ваш компьютер», а также дискуссии о том, «что такое тест Тьюринга и как развитие генеративного ИИ могло сломать знаменитую игру в имитацию». Как отмечается в сопутствующих материалах, «ваши данные компрометируются намного быстрее, чем когда-либо прежде», что требует от пользователей повышенной бдительности.
