即使內(nèi)容加密，你的AI對(duì)話主題也可能被窺探。這不是好萊塢劇本，而是微軟最新披露的現(xiàn)實(shí)威脅。

01

微軟披露AI聊天側(cè)信道攻擊的警示

微軟安全團(tuán)隊(duì)在2025年11月8日公開(kāi)了一項(xiàng)名為“Whisper Leak”的側(cè)信道攻擊技術(shù)，這種攻擊能夠通過(guò)分析加密網(wǎng)絡(luò)流量的元數(shù)據(jù)，以超過(guò)98%的準(zhǔn)確率推斷用戶與AI對(duì)話的主題。該漏洞影響包括ChatGPT、Gemini、Microsoft Copilot、Claude和Perplexity在內(nèi)的主流生成式AI應(yīng)用。

這種攻擊得以實(shí)現(xiàn)的關(guān)鍵在于，當(dāng)前AI服務(wù)普遍采用token-by-token的流式傳輸方式以提升交互體驗(yàn)，而這一機(jī)制在網(wǎng)絡(luò)層面遺留下了可辨識(shí)的通信"指紋"。研究人員通過(guò)訓(xùn)練專門(mén)的模型，證明攻擊確實(shí)有效，在實(shí)驗(yàn)中識(shí)別敏感話題的準(zhǔn)確率超過(guò)了98%，存在大規(guī)模監(jiān)控的風(fēng)險(xiǎn)。

而這種攻擊之所以令人擔(dān)憂，在于它不需要破解TLS等加密協(xié)議，而是通過(guò)分析數(shù)據(jù)包大小、傳輸時(shí)序和序列模式來(lái)推測(cè)對(duì)話內(nèi)容。就像透過(guò)磨砂玻璃看一個(gè)人的影子，攻擊者看不清具體細(xì)節(jié)，但能猜到對(duì)方在做什么。

02

攻擊原理

流量分析如何泄露對(duì)話主題

Whisper Leak攻擊的核心在于利用了AI聊天服務(wù)的流式傳輸機(jī)制。當(dāng)用戶與AI對(duì)話時(shí)，服務(wù)采用token-by-token的方式逐步發(fā)送響應(yīng)，以營(yíng)造類似人類打字的自然體驗(yàn)。

這種流式傳輸在網(wǎng)絡(luò)層留下了獨(dú)特“指紋”。不同主題的對(duì)話會(huì)產(chǎn)生系統(tǒng)性差異的元數(shù)據(jù)模式。例如，關(guān)于“洗錢(qián)”等敏感話題的提問(wèn)，其應(yīng)答數(shù)據(jù)包的節(jié)奏和大小組合與日常對(duì)話截然不同。

側(cè)信道攻擊并非全新概念。傳統(tǒng)上，這類攻擊主要針對(duì)加密硬件，通過(guò)分析功耗、電磁輻射或時(shí)序變化來(lái)提取密鑰信息。但Whisper Leak的創(chuàng)新之處在于將這種技術(shù)應(yīng)用于AI聊天服務(wù)的大規(guī)模監(jiān)控。

微軟安全專家Jonathan Bar Or和Geoff McDonald指出，攻擊者無(wú)需高級(jí)權(quán)限，任何能監(jiān)控網(wǎng)絡(luò)流量的人都可能利用這一漏洞，包括互聯(lián)網(wǎng)服務(wù)提供商、公共Wi-Fi上的黑客，甚至是共用咖啡店Wi-Fi的陌生人。

03

現(xiàn)實(shí)威脅：誰(shuí)面臨風(fēng)險(xiǎn)？

Whisper Leak攻擊對(duì)特定群體構(gòu)成嚴(yán)重威脅。記者、活動(dòng)家以及尋求法律或醫(yī)療建議的用戶可能因此暴露敏感對(duì)話主題。即使對(duì)話內(nèi)容本身加密，對(duì)話主題的泄露也可能引發(fā)后續(xù)審查或風(fēng)險(xiǎn)。

研究團(tuán)隊(duì)通過(guò)訓(xùn)練機(jī)器學(xué)習(xí)模型，證明了這種攻擊的有效性。在受控實(shí)驗(yàn)環(huán)境中，分類器識(shí)別特定敏感話題的準(zhǔn)確率超過(guò)98%，表明其在現(xiàn)實(shí)中進(jìn)行大規(guī)模、高精度定點(diǎn)監(jiān)控的潛力。

這類攻擊的出現(xiàn)，正值A(chǔ)I聊天服務(wù)日益普及之際。從日常查詢到敏感討論，用戶越來(lái)越依賴AI助手。然而，Whisper Leak漏洞意味著，即使內(nèi)容加密，元數(shù)據(jù)也能透露大量信息。

側(cè)信道攻擊的本質(zhì)是利用密碼實(shí)現(xiàn)過(guò)程中產(chǎn)生的依賴于密鑰的側(cè)信息來(lái)實(shí)施密鑰恢復(fù)攻擊。在AI聊天場(chǎng)景下，攻擊者通過(guò)分析流量模式而非內(nèi)容本身，來(lái)推斷對(duì)話性質(zhì)。

04

防御措施

安全與體驗(yàn)的平衡博弈

防御措施：安全與體驗(yàn)的平衡博弈

面對(duì)Whisper Leak威脅，微軟已與多家AI供應(yīng)商合作采取緩解措施?，F(xiàn)行方案主要分為三類：

一是通過(guò)隨機(jī)填充或內(nèi)容混淆來(lái)破壞數(shù)據(jù)包大小與原文長(zhǎng)度的關(guān)聯(lián)性；

二是采用tokens批處理，將多個(gè)tokens打包后發(fā)送，以降低時(shí)間精度；

三是主動(dòng)注入虛擬數(shù)據(jù)包，干擾流量模式。

然而，這些措施在提升安全性的同時(shí)，也帶來(lái)了延遲增加、帶寬消耗增大等代價(jià)，迫使服務(wù)商在用戶體驗(yàn)和隱私保護(hù)之間做出權(quán)衡。

對(duì)普通用戶而言，在處理高度敏感信息時(shí)，優(yōu)先選擇非流式應(yīng)答模式，并避免在不受信任的網(wǎng)絡(luò)中進(jìn)行查詢，是當(dāng)前有效的防護(hù)手段。一些注重隱私的服務(wù)如ProtonMail推出的Lumo AI助手，采用全程端到端加密技術(shù)，確保即使服務(wù)提供商也無(wú)法解密用戶內(nèi)容。

微信訂閱

歡迎郵局訂閱2026年《電腦報(bào)》

訂閱代號(hào)：77-19

全年訂價(jià)：400.00元 零售單價(jià)：8元

郵局服務(wù)熱線：11185

編輯｜張毅

主編｜黎坤

總編輯｜吳新

爆料聯(lián)系：cpcfan1874（微信）

壹零社：用圖文、視頻記錄科技互聯(lián)網(wǎng)新鮮事、電商生活、云計(jì)算、ICT領(lǐng)域、消費(fèi)電子，商業(yè)故事?！吨袊?guó)知網(wǎng)》每周全文收錄；中國(guó)科技報(bào)刊100強(qiáng)；2021年微博百萬(wàn)粉絲俱樂(lè)部成員；2022年抖音優(yōu)質(zhì)科技內(nèi)容創(chuàng)作者