Уязвимость ИИ-чатботов: утечка тем разговоров

Ваши беседы с такими ИИ-помощниками, как ChatGPT и Google Gemini, могут быть не такими приватными, как вы думаете. Microsoft обнаружила серьезный недостаток в больших языковых моделях (LLM), лежащих в основе этих ИИ-сервисов, который потенциально может раскрыть тематику ваших разговоров с ними. Исследователи назвали эту уязвимость "Whisper Leak" и выяснили, что она затрагивает практически все протестированные ими модели.

Когда вы общаетесь с ИИ-помощниками, встроенными в основные поисковые системы или приложения, информация защищается с помощью TLS (Transport Layer Security) — того же шифрования, которое используется для онлайн-банкинга. Эти безопасные соединения предотвращают чтение ваших сообщений злоумышленниками. Однако Microsoft обнаружила, что метаданные (информация о том, как ваши сообщения перемещаются по сети) остаются видимыми. Атака "Whisper Leak" не нарушает шифрование, но использует то, что шифрование скрыть не может.

Тестирование LLM

В своем исследовании, опубликованном на сервере препринтов arXiv, исследователи Microsoft подробно описывают, как они протестировали 28 LLM на предмет этой уязвимости. Сначала они подготовили два набора вопросов. Один набор содержал множество формулировок для одного конфиденциального вопроса, например, об отмывании денег, а другой — тысячи случайных, повседневных запросов. Затем они скрытно записали ритм данных каждой сети. Это включает в себя размер пакетов (порции отправляемых данных) и временные задержки (интервалы между отправкой одного пакета и прибытием другого).

Далее они обучили ИИ-программу различать конфиденциальные темы и повседневные запросы, основываясь исключительно на ритме передачи данных. Если бы ИИ смог успешно определить конфиденциальные темы, не читая зашифрованный текст, это подтвердило бы наличие проблемы с конфиденциальностью.

В большинстве моделей ИИ с точностью более 98% правильно угадывал тему разговора. Атака также могла идентифицировать конфиденциальные разговоры в 100% случаев, даже если они случались лишь 1 раз из 10 000. Исследователи протестировали три различных способа защиты от таких атак, но ни один из них не смог полностью их остановить.

Предотвращение утечки

По словам команды, проблема заключается не в самом шифровании, а в способе передачи ответов. "Это не криптографическая уязвимость самого TLS, а скорее эксплуатация метаданных, которые TLS неизбежно раскрывает о структуре и времени зашифрованного трафика".

Учитывая серьезность утечки и легкость, с которой атака может быть осуществлена, исследователи четко заявляют в своей работе, что индустрия должна обеспечить безопасность будущих систем. "Наши выводы подчеркивают необходимость того, чтобы поставщики LLM решали проблему утечки метаданных, поскольку ИИ-системы обрабатывают все более конфиденциальную информацию".