即使內(nèi)容加密，你的AI對話主題也可能被窺探。這不是好萊塢劇本，而是微軟最新披露的現(xiàn)實威脅。

01

微軟披露AI聊天側(cè)信道攻擊的警示

微軟安全團(tuán)隊在2025年11月8日公開了一項名為“Whisper Leak”的側(cè)信道攻擊技術(shù)，這種攻擊能夠通過分析加密網(wǎng)絡(luò)流量的元數(shù)據(jù)，以超過98%的準(zhǔn)確率推斷用戶與AI對話的主題。該漏洞影響包括ChatGPT、Gemini、Microsoft Copilot、Claude和Perplexity在內(nèi)的主流生成式AI應(yīng)用。

這種攻擊得以實現(xiàn)的關(guān)鍵在于，當(dāng)前AI服務(wù)普遍采用token-by-token的流式傳輸方式以提升交互體驗，而這一機制在網(wǎng)絡(luò)層面遺留下了可辨識的通信"指紋"。研究人員通過訓(xùn)練專門的模型，證明攻擊確實有效，在實驗中識別敏感話題的準(zhǔn)確率超過了98%，存在大規(guī)模監(jiān)控的風(fēng)險。

而這種攻擊之所以令人擔(dān)憂，在于它不需要破解TLS等加密協(xié)議，而是通過分析數(shù)據(jù)包大小、傳輸時序和序列模式來推測對話內(nèi)容。就像透過磨砂玻璃看一個人的影子，攻擊者看不清具體細(xì)節(jié)，但能猜到對方在做什么。

02

攻擊原理

流量分析如何泄露對話主題

Whisper Leak攻擊的核心在于利用了AI聊天服務(wù)的流式傳輸機制。當(dāng)用戶與AI對話時，服務(wù)采用token-by-token的方式逐步發(fā)送響應(yīng)，以營造類似人類打字的自然體驗。

這種流式傳輸在網(wǎng)絡(luò)層留下了獨特“指紋”。不同主題的對話會產(chǎn)生系統(tǒng)性差異的元數(shù)據(jù)模式。例如，關(guān)于“洗錢”等敏感話題的提問，其應(yīng)答數(shù)據(jù)包的節(jié)奏和大小組合與日常對話截然不同。

側(cè)信道攻擊并非全新概念。傳統(tǒng)上，這類攻擊主要針對加密硬件，通過分析功耗、電磁輻射或時序變化來提取密鑰信息。但Whisper Leak的創(chuàng)新之處在于將這種技術(shù)應(yīng)用于AI聊天服務(wù)的大規(guī)模監(jiān)控。

微軟安全專家Jonathan Bar Or和Geoff McDonald指出，攻擊者無需高級權(quán)限，任何能監(jiān)控網(wǎng)絡(luò)流量的人都可能利用這一漏洞，包括互聯(lián)網(wǎng)服務(wù)提供商、公共Wi-Fi上的黑客，甚至是共用咖啡店Wi-Fi的陌生人。

03

現(xiàn)實威脅：誰面臨風(fēng)險？

Whisper Leak攻擊對特定群體構(gòu)成嚴(yán)重威脅。記者、活動家以及尋求法律或醫(yī)療建議的用戶可能因此暴露敏感對話主題。即使對話內(nèi)容本身加密，對話主題的泄露也可能引發(fā)后續(xù)審查或風(fēng)險。

研究團(tuán)隊通過訓(xùn)練機器學(xué)習(xí)模型，證明了這種攻擊的有效性。在受控實驗環(huán)境中，分類器識別特定敏感話題的準(zhǔn)確率超過98%，表明其在現(xiàn)實中進(jìn)行大規(guī)模、高精度定點監(jiān)控的潛力。

這類攻擊的出現(xiàn)，正值A(chǔ)I聊天服務(wù)日益普及之際。從日常查詢到敏感討論，用戶越來越依賴AI助手。然而，Whisper Leak漏洞意味著，即使內(nèi)容加密，元數(shù)據(jù)也能透露大量信息。

側(cè)信道攻擊的本質(zhì)是利用密碼實現(xiàn)過程中產(chǎn)生的依賴于密鑰的側(cè)信息來實施密鑰恢復(fù)攻擊。在AI聊天場景下，攻擊者通過分析流量模式而非內(nèi)容本身，來推斷對話性質(zhì)。

04

防御措施

安全與體驗的平衡博弈

防御措施：安全與體驗的平衡博弈

面對Whisper Leak威脅，微軟已與多家AI供應(yīng)商合作采取緩解措施。現(xiàn)行方案主要分為三類：

一是通過隨機填充或內(nèi)容混淆來破壞數(shù)據(jù)包大小與原文長度的關(guān)聯(lián)性；

二是采用tokens批處理，將多個tokens打包后發(fā)送，以降低時間精度；

三是主動注入虛擬數(shù)據(jù)包，干擾流量模式。

然而，這些措施在提升安全性的同時，也帶來了延遲增加、帶寬消耗增大等代價，迫使服務(wù)商在用戶體驗和隱私保護(hù)之間做出權(quán)衡。

對普通用戶而言，在處理高度敏感信息時，優(yōu)先選擇非流式應(yīng)答模式，并避免在不受信任的網(wǎng)絡(luò)中進(jìn)行查詢，是當(dāng)前有效的防護(hù)手段。一些注重隱私的服務(wù)如ProtonMail推出的Lumo AI助手，采用全程端到端加密技術(shù)，確保即使服務(wù)提供商也無法解密用戶內(nèi)容。

微信訂閱

歡迎郵局訂閱2026年《電腦報》

訂閱代號：77-19

全年訂價：400.00元 零售單價：8元

郵局服務(wù)熱線：11185

編輯｜張毅

主編｜黎坤

總編輯｜吳新

爆料聯(lián)系：cpcfan1874（微信）

壹零社：用圖文、視頻記錄科技互聯(lián)網(wǎng)新鮮事、電商生活、云計算、ICT領(lǐng)域、消費電子，商業(yè)故事?！吨袊W(wǎng)》每周全文收錄；中國科技報刊100強；2021年微博百萬粉絲俱樂部成員；2022年抖音優(yōu)質(zhì)科技內(nèi)容創(chuàng)作者