Microsoft, kulak misafiri olanların uçtan uca şifreleme yoluyla bile sohbet konularını çıkarmasına olanak tanıyan yeni bir yan kanal saldırısını açıkladı.
Saldırının yaygın bir şekilde istismar edildiğine dair bir belirti olmasa da büyük yapay zeka sohbet robotu sağlayıcıları, kullanıcıların gizliliğini korumak için savunmalar geliştirdi.
OpenAI, Microsoft, Mistral ve xAI, akış yanıtları sırasında şifrelenmiş paket boyutlarından ve zamanlamadan yararlanan “Whisper Leak” saldırısına karşı azaltıcı önlemler aldı.
Whisper Leak, uygulama kusurundan ziyade akış dili modellerinin temel bir özelliğine dayanmaktadır.
Güvenlik açığı, büyük dil modellerinin jeton bazında yanıtlar üretmesinden yararlanıyor ve makine öğrenimi sınıflandırıcılarının yüksek doğrulukla tanımlayabileceği ayırt edici dijital parmak izleri yaratıyor.
Simetrik şifreler düz metin ve şifreli metin boyutları arasındaki ilişkiyi koruduğu için yanıt paketlerinin düzeni, temel içerik hakkındaki bilgileri ortaya çıkarır.
Microsoft araştırmacıları, ağ trafiğini gözlemleyebilecek konumda olan saldırganların, iletişimler Aktarım Katmanı Güvenliği (TLS) kullanılarak şifrelendiğinde bile belirli konuşma konularını nasıl tanımlayabildiğini gösterdi.
Microsoft’un Defender Güvenlik Araştırma Ekibi, “Bu özellikle baskıcı hükümetlerin protesto, yasaklı materyal, seçim süreci veya gazetecilik gibi konuları hedef alabileceği kullanıcılar için gerçek dünya riskleri oluşturuyor” dedi.
Microsoft’un kavram kanıtlaması, kara para aklamayla ilgili konuşmaları tanımlamaya odaklandı.
Araştırmacılar, hedef konuyla ilgili 100 çeşit soru ve halka açık bir veri kümesinden yaklaşık 12.000 ilgisiz soru kullanarak ikili sınıflandırıcıları eğitti.
Sonuçlar, kontrollü deneylerde test edilen birden fazla modelde saldırı doğruluğunun yüzde 98’i aştığını gösterdi.
Yalnızca tek bir hassas konuyla ilgili 10.000 rastgele konuşmayı izleyen simüle edilmiş bir gözetleme senaryosunda, saldırganlar hedef konuşmaların yüzde beş ila yüzde 50’sini yakalarken yüzde 100 hassasiyet elde etti.
Bu, şüpheli olarak işaretlenen her konuşmanın, yanlış alarm olmadan, gerçekten hassas konu hakkında olacağı anlamına gelir.
Saldırganlar daha fazla eğitim verisi topladıkça tehdit zamanla artabilir.
Aynı kullanıcıdan gelen çoklu konuşmalar veya çok turlu diyaloglar, analiz için daha zengin modeller sağlayacaktır.
Whisper Leak saldırılarını uygulamak için, internet servis sağlayıcı (ISP) katmanındaki ulus devlet aktörleri veya paylaşılan bir kablosuz ağdaki biri gibi saldırganların ağ trafiğini gözlemleyecek şekilde konumlandırılması gerekir.
Microsoft’un açıklamasının ardından OpenAI artık akış yanıtlarında, her belirtece değişken uzunlukta rastgele metinler ekleyen ve ayırt edici kalıpları maskeleyen bir gizleme alanı uyguladı.
Microsoft Azure da bu yaklaşımı yansıttı ve şirket, bunun saldırı etkinliğini, Whisper Leak saldırılarının artık pratik bir risk teşkil etmeyeceği seviyelere düşürdüğünü söyledi.
Mistral.ai, aynı etkiyi elde etmek için “p” adı verilen benzer bir parametre ekledi.
Azaltmalar, yanıt içeriği ile saldırıyı mümkün kılan paket modelleri arasındaki ilişkiyi bozarak çalışır.
Aksi takdirde, yüksek riskli durumlardaki kullanıcılar, güvenilmeyen ağlarda yapay zeka sohbet robotlarını kullanırken hassas konulardan kaçınmalıdır.
Sanal özel ağlar (VPN’ler), trafiği yerel ağ gözlemcilerinden gizleyerek ek bir koruma katmanı da sağlar.
Microsoft, bağımsız doğrulama için saldırı modellerini ve veri toplama kodunu genel bir depoda yayımladı.