Badacze bezpieczeństwa Microsoftu opracowali technikę ataku typu side-channel o nazwie Whisper Leak, która wykorzystuje pasywną analizę zaszyfrowanego ruchu przesyłanego przez połączenie TLS do klasyfikowania tematów żądań usług w oparciu o rozbudowane modele językowe. Informacje o rozmiarach pakietów sieciowych i opóźnieniach między transmisjami okazały się wystarczające do identyfikacji tematów żądań chatbotów AI z dokładnością ponad 98%. W praktyce proponowana metoda może być wykorzystana do identyfikacji konkretnych tematów żądań w ruchu tranzytowym użytkowników, takich jak próby uzyskania informacji o nielegalnych działaniach, bez odszyfrowywania treści.
Zestaw narzędzi do ekstrakcji danych ze zrzutów ruchu, trenowania modelu i testowania metody został opublikowany w serwisie GitHub. Atak został zademonstrowany na 28 popularnych, dużych modelach językowych od wiodących dostawców. Na przykład, dokładność identyfikacji zapytań na temat „prania pieniędzy” dla wielu usług AI wyniosła 100%, mimo że analizowany ruch zawierał jedno zapytanie docelowe i 1 10000 niepowiązanych zapytań.
Przyczyną tego wycieku informacji jest to, że modele generują odpowiedzi na zapytania krok po kroku, jeden token na raz, wykorzystując poprzedni token jako kontekst na każdym kroku, aby określić kolejne, najbardziej prawdopodobne słowo lub frazę. W związku z tym dla każdego tokena wysyłany jest oddzielny pakiet sieciowy, a opóźnienie między pakietami odpowiada opóźnieniu między momentami, w których model określa kolejny token.
W protokole TLS, o ile nie jest stosowana kompresja danych, parzystość szyfrogramu jest równa rozmiarowi tekstu jawnego powiększonemu o stałą. Tworząc model, który koreluje pożądane zestawy tokenów z rozmiarami pakietów i opóźnieniami międzypakietowymi, możliwe jest dokładne określenie obecności pożądanych tematów w ruchu. W badaniu opracowano trzy warianty takich modeli uczenia maszynowego w oparciu o architektury sieci neuronowych LightGBM, Bi-LSTM i BERT. Dla każdego modelu przeprowadzono eksperymenty mające na celu identyfikację pożądanego tematu poprzez analizę wyłącznie rozmiaru pakietu, wyłącznie opóźnień międzypakietowych oraz obu tych kryteriów.
Aby zmniejszyć skuteczność pasywnej analizy tematu zapytania, twórcom usług AI zaleca się dodawanie losowych dodatkowych wypełnień, buforowanie transmisji tokenów lub wykonywanie pozornej substytucji pakietów.
Źródło: opennet.ru
