Microsoft 安全團隊近日公開一款名為 Whisper Leak 的新型側通道攻擊技術,攻擊者可透過監測加密網絡流量,推斷用戶與大型語言模型之間的對話主題。雖然團隊已經向 LLM 供應商披露漏洞並部署防護措施,但企業仍需提升警覺性防範風險。
研究人員 Jonathan Bar Or 及 Geoff McDonald 連同 Microsoft Defender 安全研究團隊發現,即使通訊內容受 HTTPS 加密保護,網絡服務供應商層級的國家級黑客、區域網絡監控者或連接同一 Wi-Fi 路由器的攻擊者,仍可利用此漏洞判斷用戶提問是否涉及特定主題。
攻擊原理:利用數據包大小及時序推斷對話內容
大型語言模型採用串流模式時,系統逐個標記生成回應內容,而非一次性輸出完整答案。TLS 加密技術雖保護內容安全,但無法隱藏個別數據包的大小及時序資訊。Whisper Leak 正是利用這項特性,攻擊者收集加密數據包大小序列及到達時間間隔,透過訓練分類器判斷對話主題是否符合敏感目標類別。
Microsoft 研究團隊以「洗錢合法性」為測試主題,生成 100 個相關提示及超過 11,000 個不相關問題,使用 tcpdump 工具捕捉回應時間及數據包大小,並隨機化樣本避免快取偏差。團隊測試 LightGBM、Bi-LSTM 及 BERT 三種機器學習模型,結果顯示來自 Mistral、xAI、DeepSeek 及 OpenAI 的多款模型準確率超過 98%。在極端類別不平衡情況下 (10,000:1 雜訊對目標比例),攻擊者可達到 100% 精確度,同時識別出 5% 至 50% 的目標對話。
攻擊威脅隨時間持續升級
Microsoft 發現攻擊者收集更多訓練樣本後,準確率持續改善。配合更複雜的攻擊模型及多輪對話或同一用戶多次對話中的豐富模式,具耐心及資源的攻擊者可獲得比初步結果更高的成功率。
如政府機構或網絡服務供應商監控流向熱門 AI 聊天機械人的流量,即可可靠識別詢問特定敏感主題的用戶,無論話題是洗錢、政治異議或其他受監控主題,雖然所有流量均已加密。此漏洞對受壓迫政府統治下的用戶構成實際風險,當局可能針對抗議、違禁材料、選舉程序或新聞業等話題進行監控。
企業面臨實際商業間諜風險
企業併購團隊向大型語言模型查詢盡職調查資訊時,網絡服務供應商層級的被動觀察者可偵測主題指紋,用於優先進行社交工程或市場操縱,攻擊者無需查看提示文本便知目標正研究併購事宜。企業高層向大型語言模型查詢併購細節時,使用 Whisper Leak 的攻擊者可推斷話題,引發內幕交易調查。
企業面對的風險不止 Whisper Leak。LayerX 發布的《2025 年企業 AI 及 SaaS 數據安全報告》指出,AI 已成為企業數據外洩的最大非受控渠道,超越影子 SaaS 或非管理檔案共享。透過複製貼上方式將資料輸入生成式 AI 成為企業數據離開企業控制的首要途徑。Concentric AI 發現,2025 年上半年 Microsoft Copilot 等生成式 AI 工具令每家機構約 300 萬筆敏感記錄曝光,主因是員工在獲批准系統外使用 AI 工具,導致內部資料曝光且監控不足。
影子 AI 使用加劇數據外洩問題
Harmonic Security 數據顯示,企業每季上傳約 1.3 GB 檔案至生成式 AI 工具,當中約 20% 包含敏感資料。LayerX 報告指出,67% 生成式 AI、87% 即時通訊、77% Salesforce 及 68% Microsoft Online 的應用使用均透過非企業帳戶進行。超過 90% 員工使用 ChatGPT,遠高於 Google Gemini (15%)、Claude (5%) 及 Copilot (約 2% 至 3%)。
Stanford 研究發現,6 家美國主要公司預設將用戶輸入回饋至模型以改善功能,部分開發商無限期保存此類資訊。在多產品公司如 Google、Meta、Microsoft 及 Amazon,用戶互動資料通常與這些平台其他產品收集的資訊合併,包括搜尋查詢、銷售購買及社交媒體參與。Incogni 分析 Google Gemini、Meta AI、DeepSeek、Pi.ai 及 Microsoft Copilot 等平台後發現,這些工具收集姓名、電郵地址、電話號碼、精確位置資訊,部分情況下還包括實際地址。
技術防護措施:供應商部署多重緩解方案
企業應對此威脅需採取多層次策略,OpenAI 新增「混淆」欄位,在回應中加入隨機文字區塊以掩蓋標記長度,大幅降低攻擊可行性,Mistral 引入「p」參數進行類似隨機化處理,Azure 亦採用相同改動。標記批次處理 (伺服器端) 將多個標記組合成較大區塊後才串流傳送,可減少每個數據包的粒度,在許多工作負載中保持可接受延遲的同時有效降低分類器訊號。
用戶在不受信任網絡上應避免討論高度敏感話題,使用 VPN 服務增加額外保護層,優先選擇已實施緩解措施的供應商,使用大型語言模型供應商的非串流模式,並持續關注供應商安全實踐。
企業須建立全面 AI 治理框架
企業須建立全面的 AI 治理框架,安全策略必須將 AI 安全視為核心企業類別而非新興類別,治理策略須將 AI 與電郵及檔案共享置於同等地位,監控上傳、提示及複製貼上流程。從以檔案為中心轉向以行動為中心的數據外洩防護,因資料除了透過檔案上傳離開企業,還透過複製貼上、聊天及提示注入等無檔案方式流失。
2025 年企業面臨的主要挑戰是員工廣泛採用未經授權的 AI 工具,這些未經批准的 AI 應用在組織控制範圍外運作,構成重大安全風險。2024 年全球網絡攻擊造成損失超過 6 兆美元 (約 46.8 兆港元),預計 2025 年將進一步增加。企業必須確保符合 GDPR、HIPAA 及 SOC 2 等合規標準,歐盟違規罰款現達 3,500 萬歐元 (約港幣 2.97 億元)。
未來趨勢:監管框架將趨嚴格
側通道攻擊將隨 AI 採用增長而演變,Microsoft 持續研究冀能開發 AI 驅動防禦措施,可即時偵測並消除此類威脅。歐盟 AI 法案已生效,可能要求針對此類洩漏提供保護措施,影響全球標準。研究人員於 2025 年 11 月延遲發表完整結果及源程式碼,以提供充足時間讓願意的供應商實施及部署對策。
供應商對 Whisper Leak 披露的回應差異很大,突顯不同組織對側通道漏洞的處理方式,部分供應商優先考慮即時緩解,其他則以不同方式評估風險效益權衡。沒有單一緩解措施可完全消除漏洞,供應商必須在安全改善與用戶體驗下降及基礎設施成本之間取得平衡。企業選擇大型語言模型供應商時,必須評估其安全實踐、事故響應流程及在應對新興威脅時的透明度。
隨著 AI 系統在醫療、法律服務及機密通訊等敏感領域的應用日益增加,實施強健的匿名化技術、加密及嚴格的數據保留政策對於建立信任及保護用戶私隱至關重要。企業可定期進行 AI 紅隊評估,實施與定義用例一致的嚴格系統提示,並在整合此類功能至工作流程時執行適當安全控制。
