微軟安全研究人員開發了一種名為「Whisper Leak」的側通道攻擊技術。此技術利用對TLS連線上傳輸的加密流量進行被動分析,並基於大型語言模型對服務請求主題進行分類。結果表明,僅憑網路資料包大小和傳輸延遲等訊息,就能以超過98%的準確率識別出AI聊天機器人請求的主題。實際上,該方法無需解密內容即可識別用戶傳輸流量中的特定請求主題,例如試圖獲取非法活動資訊的請求。
GitHub 上發布了一套用於從流量轉儲中提取資料、訓練模型和測試方法的工具包。該攻擊已針對來自領先供應商的 28 個流行的大型語言模型進行了演示。例如,即使分析的流量僅包含一個目標查詢和 10000 個無關查詢,該工具包對許多 AI 服務中與「洗錢」主題相關的查詢的識別準確率也達到了 100%。
造成資訊外洩的原因是,模型會逐步產生查詢回應,每次處理一個詞元,並在每一步都使用前一個詞元作為上下文來確定下一個最可能的詞或短語。因此,每個詞元都會發送一個單獨的網路資料包,資料包之間的延遲對應於模型確定下一個詞元的延遲。
在TLS協定中,除非使用資料壓縮,否則密文奇偶校驗位等於明文長度加上一個常數。透過建立一個將所需令牌集與資料包大小和包間延遲關聯起來的模型,可以準確地確定流量中是否存在所需主題。本研究基於LightGBM、Bi-LSTM和BERT神經網路架構,開發了三種此類機器學習模型。對於每種模型,我們分別進行了實驗,透過僅分析資料包大小、僅分析包間延遲以及同時分析兩者來識別所需主題。
為了降低被動查詢主題分析的有效性,建議 AI 服務開發者添加隨機額外填充、緩衝令牌傳輸或執行虛擬資料包替換。
來源: opennet.ru
