حمله Whisper Leak حریم خصوصی مکالمات با هوش مصنوعی را به خطر می‌اندازد

با افزایش روزافزون اتکا به هوش مصنوعی، به‌ویژه مدل‌های زبانی بزرگ (LLM)، برای تعاملات حساس و خصوصی – از تشخیص‌های پزشکی و مشاوره‌های عاطفی گرفته تا جستجو برای راهنمایی در مسائل خطیر – حفظ حریم خصوصی این مکالمات دیجیتال به یک دغدغه حیاتی تبدیل شده است. مواردی از راهنمایی کاربران توسط LLMها به سمت رفتارهای آسیب‌زا، از جمله برنامه‌ریزی برای خودکشی یا حملات در دنیای واقعی، بر اهمیت محافظت از این مکالمات تأکید می‌کند. در این زمینه، حمله "Whisper Leak" به عنوان یک تهدید جدی مطرح شده است که می‌تواند بدون نیاز به رمزگشایی ترافیک، موضوع کلی مکالمات رمزگذاری‌شده بین کاربر و سرورهای هوش مصنوعی را فاش کند. این روش نوین که از تحلیل الگوهای زمانی ارسال و دریافت بسته‌های داده بهره می‌برد، توجه قابل‌توجهی از سوی دولت‌ها، شرکت‌ها و فعالان حریم خصوصی را به خود جلب کرده و نیاز فوری به سازوکارهای دفاعی قدرتمند را برجسته می‌سازد.

<H2>Whisper Leak: مکالمات شبکه‌های عصبی چگونه شنود می‌شوند؟</H2>

آسیب‌پذیری اصلی که حمله Whisper Leak از آن بهره می‌برد، در ماهیت توالی تولید پاسخ توسط مدل‌های زبانی بزرگ نهفته است. برخلاف روش‌های سنتی تولید متن که ممکن است یک پاراگراف کامل را ارسال کنند، LLMها خروجی خود را مرحله به مرحله ارائه می‌دهند و تجربه‌ای مشابه تایپ کلمه به کلمه توسط یک انسان را برای کاربر تداعی می‌کنند. این فرآیند که «جریان‌دهی» (Streaming) نام دارد، نه با کاراکترها یا کلمات مجزا، بلکه بر اساس «توکن‌ها» عمل می‌کند – واحدهای معنایی که سازنده پاسخ‌های هوش مصنوعی هستند. تحقیقات به وضوح نشان داده‌اند که با تحلیل دقیق ویژگی‌های زمانی این جریان داده، به‌ویژه زمان‌بندی و حجم بسته‌های حاوی توکن‌ها، مهاجم می‌تواند به موضوع اصلی یک مکالمه پی ببرد.

تحقیقی برجسته توسط پژوهشگران مایکروسافت این سازوکار را بیشتر تشریح کرد. آن‌ها پاسخ‌های ۳۰ مدل هوش مصنوعی مختلف را به بیش از ۱۱,۸۰۰ درخواست بررسی کردند. در میان این درخواست‌ها، ۱۰۰ مورد شامل پرسش‌های «خطرناک» مانند «آیا پول‌شویی قانونی است؟» بودند، در حالی که مابقی موضوعات تصادفی و بی‌خطر را پوشش می‌دادند. محققان با مقایسه تأخیر پاسخ سرور، اندازه بسته‌ها و تعداد کل بسته‌های داده، توانستند با دقت قابل‌ملاحظه‌ای، پرسش‌های «خطرناک» را از پرسش‌های «عادی» تفکیک کنند. آن‌ها برای این تحلیل از شبکه‌های عصبی غیر LLM استفاده کردند و دقت شناسایی موضوعات خطرناک در مدل‌ها بین ۷۱٪ تا ۱۰۰٪ متغیر بود که برای ۱۹ مدل از ۳۰ مدل، این دقت از ۹۷٪ فراتر رفت.

حتی در یک سناریوی پیچیده‌تر و واقعی‌تر که شامل ۱۰,۰۰۰ مکالمه تصادفی با تنها یک موضوع هدف بود، حمله شبیه‌سازی‌شده همچنان موفقیت بالایی را به نمایش گذاشت. نکته حائز اهمیت این است که اثربخشی این حمله نه تنها به مدل هوش مصنوعی، بلکه به پیکربندی سروری که مدل بر روی آن اجرا می‌شود نیز بستگی دارد. از این رو، یک مدل یکسان از OpenAI ممکن است روی زیرساخت مایکروسافت رفتاری متفاوت با اجرای آن روی سرورهای خود OpenAI داشته باشد، واقعیتی که برای تمامی مدل‌های متن‌باز نیز صادق است.

<H2>پیامدهای عملی و الزامات اجرای حمله Whisper Leak</H2>

تهدید ناشی از حمله Whisper Leak از سطح بحث‌های نظری فراتر رفته و پیامدهای عملی ملموسی دارد، البته به شرطی که شرایط خاصی فراهم باشد. یک مهاجم که به منابع کافی و از همه مهم‌تر، به ترافیک شبکه قربانی دسترسی دارد – مثلاً از طریق کنترل یک روتر در یک ارائه‌دهنده خدمات اینترنت (ISP) یا یک سازمان – می‌تواند درصد قابل‌توجهی از مکالمات را در موضوعات مورد نظر، تنها با اندازه‌گیری ترافیک ارسالی به سرورهای دستیار هوش مصنوعی، شناسایی کند. این امر با خطای کمی همراه خواهد بود. با این حال، این به معنای توانایی شنود خودکار تمامی موضوعات مکالمه نیست. مهاجم ابتدا باید سیستم شناسایی خود را بر روی موضوعات خاصی آموزش دهد و مدل تنها قادر به شناسایی همان موضوعات از پیش تعیین شده خواهد بود.

این یک تهدید صرفاً فرضی نیست. برای مثال، نهادهای انتظامی می‌توانند جستجوهای مرتبط با فعالیت‌های غیرقانونی مانند ساخت سلاح یا تولید مواد مخدر را تحت نظر بگیرند. به همین ترتیب، شرکت‌ها ممکن است جستجوهای کارکنان خود را در مورد فرصت‌های شغلی جدید پیگیری کنند. با این وجود، استفاده از این فناوری برای نظارت گسترده بر صدها یا هزاران موضوع متنوع، به دلیل نیاز به منابع محاسباتی و انسانی عظیم، عملاً غیرممکن است. در واکنش به این پژوهش مهم، برخی از سرویس‌دهندگان پیشرو هوش مصنوعی اقدام به تغییر الگوریتم‌های سرور خود کرده‌اند تا اجرای این حمله را دشوارتر سازند که نشان از یک رویکرد پیشگیرانه در برابر این چالش امنیتی نوظهور دارد.

<H2>راهکارهای محافظت از مکالمات شبکه‌های عصبی در برابر حمله Whisper Leak</H2>

مسئولیت اصلی دفاع در برابر حمله Whisper Leak بر عهده ارائه‌دهندگان مدل‌های هوش مصنوعی است. آن‌ها موظف‌اند نحوه ارائه متن تولید شده به کاربران را به گونه‌ای تغییر دهند که موضوع مکالمه از الگوهای تولید توکن قابل تشخیص نباشد. به دنبال تحقیقات مایکروسافت، شرکت‌های بزرگی مانند OpenAI، Mistral، Microsoft Azure و xAI اعلام کرده‌اند که در حال مقابله با این تهدید هستند. راهکار فعلی آن‌ها شامل افزودن «داده‌های پنهان» – اطلاعات کوچک و بی‌ضرر – به بسته‌های ارسالی است که به طور مؤثر الگوریتم‌های زمانی مورد استفاده Whisper Leak را مختل می‌کند. جالب توجه است که مدل‌های Anthropic از ابتدا آسیب‌پذیری کمتری نسبت به این حمله از خود نشان داده‌اند.

برای کاربران و سازمان‌هایی که از مدل‌های هوش مصنوعی استفاده می‌کنند و ممکن است همچنان در برابر Whisper Leak آسیب‌پذیر باشند، یا برای کسانی که به دنبال محافظت پیشگیرانه در برابر حملات مشابه در آینده هستند، اقدامات احتیاطی متعددی توصیه می‌شود:

استفاده از مدل‌های هوش مصنوعی محلی: برای موضوعات فوق‌حساس، به جای سرویس‌های ابری عمومی، از مدل‌های هوش مصنوعی که به صورت محلی روی سرورهای خودتان یا در محیط‌های کنترل‌شده اجرا می‌شوند، استفاده کنید. این کار کنترل بیشتری بر ترافیک داده و حریم خصوصی فراهم می‌کند.

پیکربندی عدم جریان‌دهی خروجی: مدل هوش مصنوعی را به گونه‌ای تنظیم کنید که کل پاسخ را یکجا ارائه دهد، نه به صورت کلمه به کلمه یا توکن به توکن. این روش "streaming" را حذف کرده و حمله مبتنی بر تحلیل زمان‌بندی را ناممکن می‌سازد.

اجتناب از شبکه‌های نامطمئن: در هنگام اتصال به شبکه‌های عمومی یا نامطمئن (مانند Wi-Fi رایگان)، از بحث در مورد موضوعات حساس با چت‌بات‌ها پرهیز کنید. امنیت شبکه محلی شما نقش کلیدی در محافظت از ترافیک دارد.

بهره‌گیری از VPN معتبر: استفاده از یک سرویس شبکه خصوصی مجازی (VPN) قوی و قابل اعتماد، با رمزگذاری ترافیک شما و مخفی کردن الگوهای آن، می‌تواند لایه امنیتی اضافی در برابر این نوع شنود ایجاد کند.

همچنین نباید فراموش کرد که مهمترین عامل نشت اطلاعات، اغلب از طریق دستگاه‌های شخصی خود کاربران رخ می‌دهد. بنابراین، محافظت از تمامی رایانه‌ها و دستگاه‌های تلفن همراه با یک راهکار امنیتی قدرتمند و مطمئن، همچنان گامی ضروری و غیرقابل چشم‌پوشی در استراتژی جامع امنیت سایبری است.

مجله تخصصی هک و امنیت

---

مطالب مرتبط

• گارتنر مسیر تحول حکمرانی امنیت سایبری و مدیریت ریسک را تا سال ۲۰۲۵ ترسیم کرد
• افتا تاکید کرد: امنیت سایبری کشور با توسعه و به‌کارگیری محصولات بومی و کارآمد تقویت می‌شود
• چالش‌های فرهنگی، مانع اصلی توسعه امنیت هوشمند و سامانه سپتام در ایران است
• آپاچی به کاربران خود درباره یک آسیب‌پذیری بحرانی ۱۰.۰ در ابزار تیکا هشدار می‌دهد