In een baanbrekend onderzoek laat Microsoft zien hoe zelfs versleutelde communicatie met taalmodellen doelwit kan zijn van een nieuwe generatie kant-kanaal-aanvallen. Onderzoekers tonen aan dat de netwerkpaketgrootte en tijdstippen—ondanks end-to-end-encryptie—informatie kunnen blootgeven over het onderwerp van de prompt. Voor gebruikers én bedrijven met AI-gestuurde chatbots betekent dit een herwaardering van vertrouwelijkheid en privacyrisico’s.
Het belang van vertrouwelijkheid bij taalmodellen
Chatbots en taalmodellen worden steeds vaker ingezet in gevoelige domeinen – denk aan juridische adviezen, zorg of persoonlijke gesprekken. Daarmee groeit ook de noodzaak dat uitwisseling tussen mens en model écht anoniem en veilig is. Maar zelfs wanneer het verkeer via Transport Layer Security (TLS) versleuteld is, toont dit onderzoek dat vertrouwelijkheid alsnog onder druk staat.
|
Whisper Leak: A novel side-channel attack on remote language models | Microsoft Security BlogUnderstand the risks of encrypted AI traffic exposure and explore practical steps users and cloud providers can take to stay secure. Learn more. |
Wat is “Whisper Leak”?
Onder de naam Whisper Leak presenteert het Microsoft-team een kant-kanaalaanval gericht op streamingmodus taalmodellen. Daarbij worden niet de inhoud van de communicatie ontleed, maar de metadata: bijvoorbeeld de grootte van elk netwerkpakket en de tijd tussen verzending. Met deze parameters kan een aanvaller, die het netwerkverkeer wel observeert (niet de inhoud), afleiden waarover de gebruiker met het model in gesprek is.
Whisper Leak: The New Side-Channel Attack That Steals Messages with LLMsMicrosoft discovers a new side-channel attack on remote language models, called Whisper Leak, that can reveal what users are talking about. |
Achtergrond: Hoe taalmodellen communiceren
Taalmodellen genereren een antwoord doorgaans token voor token — elk nieuw woord of deel daarvan is gebaseerd op wat eerder kwam. Omdat veel gebruikers direct feedback willen, worden de antwoorden vaak gestreamd in delen. Dankzij streaming ontstaan typische patronen in tijdstippen en pakketgroottes, die door een geavanceerde aanvaller uitgelokt kunnen worden.
De aanvalsmethodiek in detail
Het team trainde een binaire classifier om verschil te maken tussen een “gevoelig” onderwerp (in dit geval: de legaliteit van witwassen) en achtergrondverkeer. Gebruikmakend van netwerksniffer tools werd het verkeer geanalyseerd op pakketgrootte en tijdsintervallen. Daarna werden machine-learning modellen (zoals LightGBM, Bi-LSTM, BERT-achtige modellen) ingezet om de topic-classificatie uit de metadata te halen. De resultaten waren verontrustend: in gecontroleerde tests haalden sommige modellen een succespercentage boven de 98%.
AI Chat Privacy At Risk—Microsoft Uncovers Whisper Leak Side-Channel AttackMicrosoft has revealed a privacy flaw that could expose what you're talking about with AI chatbots like ChatGPT, even though your conversations are encrypted. |
Praktische implicaties
In een simulatie met 10.000 willekeurige gesprekken – waarvan slechts één over het gevoelige onderwerp ging – bleek dat een aanvaller met hoge precisie (dus weinig valse positieven) toch 5-50% van de relevante gesprekken kon vinden. Met andere woorden: weinig ‘vals alarm’, wel een niet-onschuldig lek. Voor gebruikers in regimes met toezicht of onderdrukking is dit bijzonder zorgwekkend.
Wat providers doen aan mitigatie
Microsoft geeft aan samen te werken met meerdere leveranciers (o.a. OpenAI, Mistral AI) om bescherming te bieden. Concreet werd bij streaming-responses een extra “obfuscation” veld geïntroduceerd dat willekeurige tekst toevoegingen bevat, waardoor de pakketgroottes en inter-arrival tijd sterk worden gemaskeerd. Microsoft zelf meldt dat hun mitigatie het risico tot praktisch onbedreigend niveau heeft verlaagd.
Wat kan de gebruiker doen?
Hoewel de verantwoordelijkheid vooral bij de AI-diensten ligt, kunnen gebruikers zelf ook voorzorgsmaatregelen nemen:
- Vermijd het bespreken van zeer gevoelige thema’s via AI-chat op onveilige netwerken.
- Gebruik waar mogelijk een VPN of ander vertrouwelijk communicatiemiddel.
- Kies voor aanbieders die duidelijk aangeven dat mitigaties aanwezig zijn.
- Overweeg het gebruik van niet-Streaming modus van taalmodellen.
Het onderzoek van Microsoft markeert een nieuw hoofdstuk in cyberveiligheid voor taalmodellen: zij tonen aan dat een slimme aanvaller via pure metadata – dus zonder decryptie – gevoelige onderwerpen kan detecteren. Voor bedrijven, ontwerpers en ontwikkelaars betekent dit: opnieuw nadenken over hoe ze taalmodellen inzetten, welke aannames over privacy ze maken en welke mitigaties noodzakelijk zijn om gebruikersvertrouwen te behouden.
