- Microsoft rileva che la Whisper Leak espone falle nella privacy all'interno dei sistemi AI crittografati.
- Le chat AI crittografate possono comunque far trapelare indizi sugli argomenti discussi dagli utenti.
- Gli attaccanti possono tracciare gli argomenti delle conversazioni utilizzando la dimensione e la tempistica dei pacchetti (packet size and timing).
Microsoft ha rivelato una nuova tipologia di attacco informatico che ha denominato "Whisper Leak", in grado di esporre gli argomenti discussi dagli utenti con i chatbot AI, anche quando le conversazioni sono completamente crittografate.
La ricerca dell'azienda suggerisce che gli attaccanti possono studiare la dimensione e la tempistica dei pacchetti crittografati scambiati tra un utente e un Large Language Model (LLM) per dedurre l'argomento della discussione.
"Se un'agenzia governativa o un Internet Service Provider (ISP) stessero monitorando il traffico verso un popolare chatbot AI, potrebbero identificare in modo affidabile gli utenti che pongono domande su specifici argomenti sensibili", ha affermato Microsoft.
Whisper Leak attacks
Ciò significa che la crittografia non implica necessariamente invisibilità: la vulnerabilità risiede nel modo in cui gli LLM (Large Language Models) inviano le risposte.
Questi modelli non attendono una risposta completa, ma trasmettono i dati in modo incrementale, creando piccoli pattern che gli attaccanti possono analizzare.
Nel tempo, raccogliendo un numero maggiore di campioni, questi pattern diventano più chiari, consentendo inferenze più accurate sulla natura delle conversazioni. Questa tecnica non decifra direttamente i messaggi, ma espone una quantità sufficiente di metadati per trarre inferenze informate, il che è forse altrettanto preoccupante.
In seguito alla divulgazione di Microsoft, OpenAI, Mistral e xAI hanno tutte dichiarato di aver agito rapidamente per implementare contromisure (mitigations).
Una soluzione consiste nell'aggiungere una "sequenza casuale di testo a lunghezza variabile" a ogni risposta, interrompendo la coerenza delle dimensioni dei token su cui fanno affidamento gli attaccanti.
Tuttavia, Microsoft consiglia agli utenti di evitare discussioni sensibili su reti Wi-Fi pubbliche, di utilizzare una VPN o di attenersi a modelli LLM non in streaming.
Queste scoperte giungono parallelamente a nuovi test che dimostrano come diversi LLM open-weight rimangano vulnerabili alla manipolazione, soprattutto durante le conversazioni a più turni (multi-turn conversations).
I ricercatori di Cisco AI Defense hanno riscontrato che anche i modelli creati da importanti aziende faticano a mantenere i controlli di sicurezza (safety controls) quando il dialogo diventa complesso. Alcuni modelli, hanno affermato, hanno mostrato "una sistemica incapacità... di mantenere i guardrail di sicurezza nel corso di interazioni estese".
Nel 2024, sono emersi rapporti secondo cui un chatbot AI ha fatto trapelare oltre 300.000 file contenenti informazioni personali identificabili (PII) e centinaia di server LLM sono stati lasciati esposti, sollevando interrogativi sulla reale sicurezza delle piattaforme di chat AI.
Le difese tradizionali, come l'antivirus o la protezione firewall, non possono rilevare o bloccare le fughe di informazioni da canali laterali (side-channel leaks) come Whisper Leak, e queste scoperte dimostrano che gli strumenti di IA possono inavvertitamente ampliare l'esposizione alla sorveglianza e all'inferenza dei dati.
