Фахівці з кібербезпеки компанії Microsoft виявили суттєву ваду в сучасних системах штучного інтелекту, яка дозволяє зловмисникам перехоплювати розмови з чат-ботами. Ця атака, відома як “Whisper Leak”, обходить шифрування – покликане гарантувати приватність листування – ставлячи під загрозу конфіденційність користувачів.
“Whisper Leak” – це різновид атаки “людина посередині”, коли хакери таємно перехоплюють повідомлення, що передаються між серверами. Її ефективність полягає в тому, що зловмисники здатні зчитувати метадані повідомлень, а отже – робити висновки про їхній зміст, навіть не маючи прямого доступу до самого зашифрованого тексту. Детальний опис методу атаки з’явився у їхній науковій роботі, оприлюдненій 5 листопада на платформі попередніх публікацій arXiv. Цей відкритий архів є важливим майданчиком для оперативного поширення наукових досліджень серед світової наукової спільноти.
Розробників великих мовних моделей (LLM) було повідомлено про цю вразливість ще в червні 2025 року. Деякі з них, включно з техногігантом Microsoft та компанією OpenAI, що створила популярний ChatGPT, відреагували оперативно, оцінивши ризики та застосувавши відповідні виправлення. ChatGPT – це передова велика мовна модель, розроблена OpenAI, відома своєю здатністю генерувати зв’язний та релевантний текст, імітуючи людське спілкування. Однак, інші постачальники LLM з різних причин відмовилися впроваджувати необхідні заходи безпеки, а деякі навіть не відповіли на нові відкриття, зауважили автори дослідження, не розкриваючи назви цих платформ.
“Я не здивований, – прокоментував ситуацію Дейв Лір, аналітик з кібербезпеки, у розмові з виданням Live Science. – Великі мовні моделі – це потенційна золота жила, враховуючи величезну кількість інформації, яку люди вводять у них. Не кажучи вже про медичні дані, що можуть у них міститися, оскільки лікарні вже використовують такі системи для аналізу результатів тестів. Рано чи пізно хтось мусив знайти спосіб викрасти цю інформацію”.
Розкриття вразливостей в чат-ботах зі штучним інтелектом
Генеративні системи штучного інтелекту, такі як ChatGPT – це потужні цифрові інструменти, здатні створювати відповіді на основі запитів, подібно до віртуальних помічників у смартфонах. Ці моделі, що є підмножиною великих мовних моделей (LLM), навчені на колосальних обсягах даних для генерування текстових відповідей. Зазвичай розмови користувачів з LLM захищені протоколом TLS – Transport Layer Security. Це криптографічний протокол, який запобігає зчитуванню комунікацій сторонніми особами, забезпечуючи безпеку даних. Проте кіберфахівцям вдалося перехопити та зрозуміти зміст повідомлень, аналізуючи їхні метадані під час передачі між користувачем і чат-ботом.
Метадані, по суті, є даними про дані, що містять інформацію про розмір і частоту, і часто можуть виявитися ціннішими за сам вміст повідомлень. Хоча текстове наповнення листування між людьми та LLM залишалося зашифрованим, перехоплення та аналіз метаданих дав змогу фахівцям виявити тематику обговорюваних питань. Цього було досягнуто аналізом розміру зашифрованих пакетів даних – невеликих відформатованих одиниць інформації, що передаються мережею – з відповідей LLM. Команда розробила низку тактик атаки, ґрунтуючись на часових характеристиках, вихідних даних та послідовності довжин токенів, щоб відтворити ймовірні речення у повідомленнях, не обходячи при цьому шифрування. Ця технологія дозволяє фактично “підслуховувати” розмови, навіть якщо прямий доступ до їхнього змісту закритий.
Багато в чому атака “Whisper Leak” використовує вдосконалену версію політики інтернет-нагляду, закладеної у британському Законі про повноваження розвідувальних органів 2016 року. Цей закон дозволяє урядовим установам Великобританії отримувати дані про інтернет-трафік, робити висновки про зміст повідомлень на основі інформації про відправника, час, розмір та частоту, не читаючи при цьому самі повідомлення.
“Щоб це усвідомити: якщо державне агентство чи інтернет-провайдер моніторили трафік популярного чат-бота зі штучним інтелектом, вони могли б достовірно ідентифікувати користувачів, які ставлять питання про конкретні чутливі теми – чи то відмивання грошей, політичне інакомислення, чи інші контрольовані сюжети, – навіть попри те, що весь трафік зашифрований”, – пояснили експерти з безпеки Джонатан Бар Ор та Джефф Макдона у дописі, опублікованому командою Microsoft Defender Security Research. Джонатан Бар Ор і Джефф Макдона – експерти з кібербезпеки, що працюють у відділі безпекових досліджень Microsoft, відомі своїми внесками у виявлення та аналіз нових кіберзагроз.
Існують різні методики, які постачальники великих мовних моделей могли б використовувати для зниження цього ризику. Наприклад, додавання випадкових “заповнювачів” – випадкових байтів до повідомлення для спотворення висновків – могло б бути включене у поля відповідей, тим самим збільшуючи їхню довжину та зменшуючи передбачуваність шляхом викривлення розмірів пакетів даних. Виявлена вада в основі “Whisper Leak” є не чим іншим, як архітектурним наслідком способу розгортання великих мовних моделей. Усунення цієї вразливості не є непереборним завданням, проте автори звіту наголосили, що необхідні виправлення були впроваджені не всіма постачальниками LLM.
Доки постачальники не зможуть повністю усунути ці недоліки в чат-ботах, експерти з безпеки радять користувачам уникати обговорення чутливих тем у ненадійних мережах та бути в курсі, чи запровадив їхній провайдер відповідні заходи захисту. Також як додатковий рівень захисту можна використовувати віртуальні приватні мережі (VPN). VPN – це технологія, яка створює зашифроване з’єднання через менш захищену мережу, що допомагає приховати особистість та місцезнаходження користувача, роблячи його активність в інтернеті значно безпечнішою та анонімнішою.
