11月10日，微軟安全研究團隊于 11 月 8 日發(fā)布博文，披露名為“Whisper Leak”的嚴重隱私漏洞，是一種針對現(xiàn)代 AI 聊天服務(wù)的側(cè)信道攻擊。

這一攻擊技術(shù)的核心在于，它不需要破解 TLS 等主流加密協(xié)議，而是通過分析加密網(wǎng)絡(luò)流量的元數(shù)據(jù)（即數(shù)據(jù)包的大小、傳輸時序和序列模式）來推斷用戶與 AI 的對話主題。

由于 AI 服務(wù)為提供流暢體驗，普遍采用 token-by-token 流式傳輸應(yīng)答，這種行為恰好在網(wǎng)絡(luò)層留下了獨特的“指紋”，讓攻擊成為可能。

研究人員通過訓(xùn)練機器學(xué)習(xí)模型，證明了這種攻擊的有效性。他們采集了大量 AI 應(yīng)答的加密數(shù)據(jù)包軌跡，發(fā)現(xiàn)不同主題的對話會產(chǎn)生系統(tǒng)性差異的元數(shù)據(jù)模式。

例如，關(guān)于“洗錢”等敏感話題的提問，其應(yīng)答數(shù)據(jù)包的節(jié)奏和大小組合，與普通日常對話顯著不同。在受控的實驗環(huán)境中，分類器識別特定敏感話題的準(zhǔn)確率驚人地超過了 98%，表明其在現(xiàn)實世界中進行大規(guī)模、高精度定點監(jiān)控的潛力。

此漏洞暴露了廣泛的 AI 聊天服務(wù)所面臨的系統(tǒng)性風(fēng)險。互聯(lián)網(wǎng)服務(wù)提供商（ISP）、公共 Wi-Fi 上的惡意行為者等攻擊者都可能利用 Whisper Leak，觀察用戶網(wǎng)絡(luò)流量，識別和標(biāo)記敏感對話。

這對記者、活動家以及尋求法律或醫(yī)療建議的普通用戶構(gòu)成了嚴重威脅，因為即使對話內(nèi)容本身是加密的，對話的“主題”也可能被暴露，從而引發(fā)后續(xù)的審查或風(fēng)險。

在微軟遵循負責(zé)任披露原則通報業(yè)界后，多家主流 AI 供應(yīng)商已迅速采取行動。現(xiàn)行的緩解措施主要分為三類：

一是通過隨機填充或內(nèi)容混淆來破壞數(shù)據(jù)包大小與原文長度的關(guān)聯(lián)性；

二是采用 tokens 批處理，將多個 tokens 打包后再發(fā)送，以降低時間精度；

三是主動注入虛擬數(shù)據(jù)包，干擾流量模式。

這些措施在提升安全性的同時，也帶來了延遲增加、帶寬消耗增大等代價，迫使服務(wù)商在用戶體驗和隱私保護之間做出權(quán)衡。

對普通用戶而言，在處理高度敏感信息時，優(yōu)先選擇非流式應(yīng)答模式，并避免在不受信任的網(wǎng)絡(luò)中進行查詢，是當(dāng)前有效的防護手段。