Microsoft, belirli koşullar altında şifreleme korumalarına rağmen, ağ trafiğini gözlemleme yeteneğine sahip pasif bir saldırganın model konuşma konularıyla ilgili ayrıntıları toplamasına olanak tanıyan, uzak dil modellerini hedef alan yeni bir yan kanal saldırısının ayrıntılarını açıkladı.
Şirket, insanlar ve akış modu dil modelleri arasında aktarılan bu veri sızıntısının, kullanıcı ve kurumsal iletişimin gizliliği açısından ciddi riskler oluşturabileceğini belirtti. Saldırının kod adı verildi Fısıltı Sızıntısı.
Güvenlik araştırmacıları Jonathan Bar Or ve Geoff McDonald, Microsoft Defender Güvenlik Araştırma Ekibi ile birlikte şunları söyledi: “Şifrelenmiş trafiği gözlemleyebilecek konumda olan siber saldırganlar (örneğin, internet servis sağlayıcı katmanındaki bir ulus devlet aktörü, yerel ağdaki biri veya aynı Wi-Fi yönlendiricisine bağlı biri), bu siber saldırıyı, kullanıcının isteminin belirli bir konuyla ilgili olup olmadığını anlamak için kullanabilir.”
Başka bir deyişle, saldırı, saldırganın kullanıcı ile LLM hizmeti arasındaki şifrelenmiş TLS trafiğini gözlemlemesine, paket boyutunu ve zamanlama dizilerini çıkarmasına ve konuşma konusunun hassas bir hedef kategoriyle eşleşip eşleşmediğini anlamak için eğitimli sınıflandırıcılar kullanmasına olanak tanır.
Büyük dil modellerinde (LLM’ler) model akışı, tüm çıktının hesaplanmasını beklemek zorunda kalmak yerine, model yanıtlar üretirken artan veri alımına izin veren bir tekniktir. İstemin veya görevin karmaşıklığına bağlı olarak belirli yanıtlar zaman alabileceğinden, bu kritik bir geri bildirim mekanizmasıdır.
Microsoft tarafından gösterilen en son teknik önemlidir; özellikle yapay zeka (AI) sohbet robotlarıyla iletişimin HTTPS ile şifrelenmesine rağmen işe yaraması nedeniyle önemlidir; bu, değişimin içeriğinin güvende kalmasını ve kurcalanmamasını sağlar.
Son yıllarda LLM’lere karşı birçok yan kanal saldırısı tasarlandı; bunlar arasında, akış modeli yanıtlarındaki şifrelenmiş paketlerin boyutundan bireysel düz metin belirteçlerinin uzunluğunu çıkarabilme veya girdi hırsızlığını (diğer adıyla OutputSnatch) yürütmek için LLM çıkarımlarını önbelleğe almanın neden olduğu zamanlama farklılıklarından yararlanma yeteneği de dahil.
Whisper Leak, Microsoft’a göre “yanıtların jeton grupları halinde yayınlandığı durumlarda bile, akış dili modeli yanıtı sırasındaki şifrelenmiş paket boyutları dizisi ve varışlar arası sürelerin, ilk istemin konusunu sınıflandırmak için yeterli bilgi içermesi” olasılığını araştırmak için bu bulgulara dayanıyor.
Windows üreticisi, bu hipotezi test etmek için, üç farklı makine öğrenme modelini kullanarak belirli bir konu istemi ile geri kalanlar (yani gürültü) arasında ayrım yapabilen bir kavram kanıtı olarak ikili sınıflandırıcıyı eğittiğini söyledi: LightGBM, Bi-LSTM ve BERT.
Sonuç olarak Mistral, xAI, DeepSeek ve OpenAI’nin birçok modelinin %98’in üzerinde puanlar elde ettiği görüldü; bu sayede, sohbet robotlarıyla yapılan rastgele konuşmaları izleyen bir saldırganın belirli bir konuyu güvenilir bir şekilde işaretlemesi mümkün hale geldi.
Microsoft, “Bir devlet kurumu veya internet servis sağlayıcısı, popüler bir AI sohbet robotuna giden trafiği izliyorsa, tüm trafik şifrelenmiş olsa bile, kara para aklama, siyasi muhalefet veya izlenen diğer konular gibi belirli hassas konular hakkında sorular soran kullanıcıları güvenilir bir şekilde tespit edebilir” dedi.
 |
| Whisper Leak saldırısı hattı |
Daha da kötüsü, araştırmacılar, saldırganın zaman içinde daha fazla eğitim örneği toplaması ve bunun pratik bir tehdide dönüşmesiyle Whisper Leak’in etkinliğinin artabileceğini buldu. Sorumlu açıklamanın ardından OpenAI, Mistral, Microsoft ve xAI, riske karşı koymak için azaltıcı önlemleri uygulamaya koydu.
“Daha karmaşık saldırı modelleri ve çok turlu görüşmelerde veya aynı kullanıcıdan gelen birden çok görüşmede mevcut olan daha zengin modeller ile birleştiğinde, bu, sabırlı ve kaynaklara sahip bir siber saldırganın ilk sonuçlarımızın önerdiğinden daha yüksek başarı oranları elde edebileceği anlamına geliyor” diye ekledi.
OpenAI, Microsoft ve Mistral tarafından geliştirilen etkili bir karşı önlem, her yanıta “değişken uzunlukta rastgele bir metin dizisi” eklemeyi içerir; bu da, yan kanal tartışmasını oluşturmak için her bir jetonun uzunluğunu maskeler.
Microsoft ayrıca, AI sağlayıcılarıyla konuşurken gizlilikleri konusunda endişe duyan kullanıcıların, güvenilmeyen ağları kullanırken son derece hassas konuları tartışmaktan kaçınmalarını, ekstra bir koruma katmanı için bir VPN kullanmalarını, LLM’lerin akışsız modellerini kullanmalarını ve azaltımları uygulayan sağlayıcılara geçmelerini önermektedir.
Açıklama, Alibaba (Qwen3-32B), DeepSeek (v3.1), Google (Gemma 3-1B-IT), Meta (Llama 3.3-70B-Instruct), Microsoft (Phi-4), Mistral (Large-2 aka Large-Instruct-2047), OpenAI (GPT-OSS-20b) ve Zhipu AI (GLM) şirketlerinden sekiz açık ağırlıklı LLM’nin yeni bir değerlendirmesi olarak geliyor. 4.5-Air), özellikle çok turlu saldırılar söz konusu olduğunda, düşmanca manipülasyona karşı oldukça duyarlı olduklarını buldu.
 |
| Hem tek dönüşlü hem de çok dönüşlü senaryolar için test edilen modeller genelinde saldırı başarı oranlarını gösteren karşılaştırmalı güvenlik açığı analizi |
Cisco AI Savunma araştırmacıları Amy Chang, Nicholas Conley, Harish Santhanalakshmi Ganesan ve Adam Swanda, eşlik eden bir makalede “Bu sonuçlar, mevcut açık ağırlık modellerinin uzun süreli etkileşimlerde güvenlik korkuluklarını koruma konusundaki sistemik yetersizliğinin altını çiziyor.” dedi.
“Hizalama stratejilerinin ve laboratuvar önceliklerinin dayanıklılığı önemli ölçüde etkilediğini değerlendiriyoruz: Llama 3.3 ve Qwen 3 gibi yetenek odaklı modeller daha yüksek çoklu dönüş duyarlılığı gösterirken, Google Gemma 3 gibi güvenlik odaklı tasarımlar daha dengeli performans sergiliyor.”
Bu keşifler, açık kaynak modellerini benimseyen kuruluşların ek güvenlik korkulukları olmadığında operasyonel risklerle karşı karşıya kalabileceğini gösteriyor ve OpenAI ChatGPT’nin Kasım 2022’de halka sunulmasından bu yana LLM’ler ve yapay zeka sohbet robotlarındaki temel güvenlik zayıflıklarını ortaya çıkaran giderek artan araştırmalara katkıda bulunuyor.
Bu durum, geliştiricilerin bu tür yetenekleri iş akışlarına entegre ederken yeterli güvenlik kontrollerini uygulamaları, açık ağırlıklı modellerde jailbreak’lere ve diğer saldırılara karşı daha dayanıklı olacak şekilde ince ayarlar yapmaları, periyodik yapay zeka kırmızı ekip değerlendirmeleri yürütmeleri ve tanımlanmış kullanım durumlarıyla uyumlu katı sistem istemleri uygulamaları hayati önem taşıyor.