在人工智能技術(shù)深度融入日常生活的今天，"與AI對(duì)話"已成為許多人獲取信息、輔助決策的重要方式。

無論是職場(chǎng)人士通過AI梳理報(bào)告思路，還是學(xué)生借助AI解答學(xué)習(xí)難題，亦或是普通用戶詢問生活建議，這些看似私密的交互內(nèi)容，正面臨一種新型隱私威脅——側(cè)信道攻擊。

11月8日，微軟安全研究團(tuán)隊(duì)發(fā)布技術(shù)博客，披露了一項(xiàng)名為 "Whisper Leak"（耳語泄露）? 的嚴(yán)重漏洞，該攻擊能以 超過98%的準(zhǔn)確率? ，通過分析AI服務(wù)的底層硬件響應(yīng)特征，還原用戶與聊天機(jī)器人的對(duì)話內(nèi)容，引發(fā)業(yè)界對(duì)AI隱私安全的新一輪擔(dān)憂。

什么是"Whisper Leak"？

"Whisper Leak"本質(zhì)上是一種針對(duì)現(xiàn)代AI聊天服務(wù)的側(cè)信道攻擊。與傳統(tǒng)的直接入侵系統(tǒng)或竊取數(shù)據(jù)不同，側(cè)信道攻擊不依賴破解密碼或突破防火墻，而是通過捕捉目標(biāo)系統(tǒng)運(yùn)行時(shí)產(chǎn)生的間接物理信號(hào)（如電力消耗、電磁輻射、響應(yīng)延遲等），推斷出敏感信息。

具體到此次漏洞，攻擊者瞄準(zhǔn)的是AI聊天服務(wù)背后的硬件推理過程。

當(dāng)用戶向AI輸入問題（如"如何寫一份辭職信"）并收到回復(fù)時(shí)，AI模型需要在服務(wù)器端進(jìn)行復(fù)雜的計(jì)算（如文本理解、意圖分析、答案生成）。這一過程會(huì)觸發(fā)GPU（圖形處理器）、CPU或其他加速硬件的特定操作，而不同類型的提問和回答內(nèi)容，會(huì)導(dǎo)致硬件產(chǎn)生細(xì)微但獨(dú)特的運(yùn)行特征（例如GPU的功耗波動(dòng)、內(nèi)存訪問模式、響應(yīng)時(shí)間差異等）。

攻擊者通過高精度傳感器（如共享電源線路的噪聲監(jiān)測(cè)設(shè)備、鄰近服務(wù)器的電磁探測(cè)器，甚至云端相鄰虛擬機(jī)的性能監(jiān)控接口）采集這些特征，再結(jié)合機(jī)器學(xué)習(xí)模型訓(xùn)練，就能逐步還原出原始對(duì)話內(nèi)容。

微軟團(tuán)隊(duì)在實(shí)驗(yàn)中發(fā)現(xiàn)，當(dāng)攻擊者與目標(biāo)用戶共享同一物理服務(wù)器資源（例如云服務(wù)商的同一虛擬機(jī)集群）或相鄰網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)，這種攻擊的成功率極高——對(duì)短文本（如單輪問答）的還原準(zhǔn)確率超過98%，對(duì)多輪對(duì)話的連續(xù)內(nèi)容推斷準(zhǔn)確率也能達(dá)到85%以上。

這意味著，如果你在某個(gè)AI聊天平臺(tái)上詢問了敏感問題（如醫(yī)療診斷、法律咨詢、商業(yè)機(jī)密），攻擊者可能通過分析服務(wù)器的"異常反應(yīng)"，拼湊出你的完整提問與AI的回答。

攻擊如何實(shí)現(xiàn)？從硬件痕跡到信息還原

要理解"Whisper Leak"的具體運(yùn)作機(jī)制，需要拆解其技術(shù)鏈路。微軟研究團(tuán)隊(duì)通過模擬實(shí)驗(yàn)還原了攻擊者的操作步驟：

第一步：特征采集——捕捉硬件的"異常反應(yīng)"

當(dāng)AI模型處理不同類型的輸入時(shí)，硬件資源的使用模式會(huì)發(fā)生變化。例如：

簡(jiǎn)單問題（如"今天天氣如何"）可能只需調(diào)用輕量級(jí)的文本匹配模塊，硬件響應(yīng)快且功耗低；

復(fù)雜問題（如"分析特斯拉股價(jià)下跌的宏觀經(jīng)濟(jì)原因"）需要多輪邏輯推理和大規(guī)模知識(shí)檢索，會(huì)觸發(fā)GPU的高強(qiáng)度并行計(jì)算，導(dǎo)致功耗峰值、內(nèi)存帶寬占用激增或響應(yīng)延遲延長(zhǎng)。

攻擊者通過在目標(biāo)服務(wù)器附近部署低成本的監(jiān)測(cè)設(shè)備（如共享電源線的電流傳感器、云環(huán)境中共享物理主機(jī)的性能監(jiān)控API），持續(xù)采集AI服務(wù)運(yùn)行時(shí)的硬件特征（如GPU功耗曲線、內(nèi)存訪問頻率、響應(yīng)時(shí)間抖動(dòng)等）。這些特征雖然對(duì)人類不可見，但對(duì)機(jī)器來說是獨(dú)特的"數(shù)字指紋"。

第二步：模型訓(xùn)練——建立"特征-內(nèi)容"映射關(guān)系

攻擊者首先會(huì)收集大量已知的"輸入-輸出"對(duì)話樣本（例如公開的問答數(shù)據(jù)集，或通過合法渠道獲取的常見提問與標(biāo)準(zhǔn)回答），并讓AI服務(wù)處理這些樣本，同時(shí)記錄對(duì)應(yīng)的硬件特征。

通過機(jī)器學(xué)習(xí)算法（如神經(jīng)網(wǎng)絡(luò)、決策樹），攻擊者訓(xùn)練一個(gè)分類模型，學(xué)習(xí)"特定的硬件特征組合對(duì)應(yīng)哪些可能的提問或回答內(nèi)容"。

第三步：實(shí)時(shí)推斷——還原用戶對(duì)話

當(dāng)目標(biāo)用戶與AI正常交互時(shí)，攻擊者通過實(shí)時(shí)監(jiān)測(cè)硬件特征變化，將其輸入訓(xùn)練好的模型中。模型會(huì)根據(jù)當(dāng)前的特征模式，預(yù)測(cè)最可能的提問內(nèi)容或回答片段。通過拼接多輪對(duì)話的特征推斷結(jié)果，攻擊者最終能還原出用戶與AI聊天的核心內(nèi)容。

微軟團(tuán)隊(duì)的實(shí)驗(yàn)顯示，在模擬云服務(wù)器環(huán)境中，攻擊者僅通過監(jiān)測(cè)相鄰虛擬機(jī)的GPU功耗波動(dòng)，就能在用戶輸入"我需要起草一份解除勞動(dòng)合同的通知"后，準(zhǔn)確推斷出提問的關(guān)鍵意圖（"解除勞動(dòng)合同"）；當(dāng)AI返回包含"經(jīng)濟(jì)補(bǔ)償金計(jì)算標(biāo)準(zhǔn)"的回答時(shí)，攻擊者也能通過響應(yīng)時(shí)間的微小差異鎖定相關(guān)內(nèi)容片段。

為什么危險(xiǎn)？隱私漏洞的"連鎖反應(yīng)"

"Whisper Leak"的威脅性在于其隱蔽性與廣泛性。與需要直接接觸用戶設(shè)備或賬戶的傳統(tǒng)攻擊不同，這種漏洞利用的是AI服務(wù)運(yùn)行時(shí)不可避免的硬件特征，且攻擊者無需突破平臺(tái)的身份驗(yàn)證或數(shù)據(jù)加密（因?yàn)閿?shù)據(jù)在傳輸和存儲(chǔ)時(shí)可能是安全的，但在處理過程中暴露了痕跡）。

潛在風(fēng)險(xiǎn)場(chǎng)景包括：

機(jī)密泄露：?jiǎn)T工通過AI工具討論商業(yè)策略、產(chǎn)品研發(fā)細(xì)節(jié)時(shí)，攻擊者可能通過服務(wù)器側(cè)信道還原關(guān)鍵信息，導(dǎo)致競(jìng)爭(zhēng)優(yōu)勢(shì)喪失；

個(gè)人隱私暴露：用戶咨詢醫(yī)療健康問題（如"抑郁癥如何用藥"）、法律糾紛（如"離婚財(cái)產(chǎn)分割"）或財(cái)務(wù)規(guī)劃（如"如何避稅"）時(shí)，敏感對(duì)話內(nèi)容可能被竊??；

公共服務(wù)風(fēng)險(xiǎn)：若政務(wù)或醫(yī)療領(lǐng)域的AI助手存在類似漏洞，用戶提交的個(gè)人信息（如身份證號(hào)、病歷摘要）可能通過硬件特征被間接推斷。

更值得警惕的是，隨著AI服務(wù)逐漸向邊緣設(shè)備（如智能手機(jī)、智能家居）和輕量化部署（如本地化推理）擴(kuò)展，側(cè)信道攻擊的潛在目標(biāo)范圍將進(jìn)一步擴(kuò)大——任何依賴硬件計(jì)算能力的AI交互場(chǎng)景，都可能成為攻擊入口。

面對(duì)這一漏洞，微軟安全團(tuán)隊(duì)在博文中強(qiáng)調(diào)："側(cè)信道攻擊是AI時(shí)代隱私保護(hù)的新挑戰(zhàn)，它提醒我們，僅僅關(guān)注數(shù)據(jù)的加密存儲(chǔ)和傳輸是不夠的，還需要從硬件設(shè)計(jì)、服務(wù)架構(gòu)和運(yùn)行時(shí)監(jiān)控等多維度構(gòu)建防御體系。"

從鍵盤敲擊到語音指令，從文字輸入到多模態(tài)交互，人類與AI的溝通方式越來越自然，但對(duì)隱私的期待始終未變——我們希望AI是可靠的伙伴，而非泄露秘密的"后門"。

微軟披露的"Whisper Leak"漏洞提醒我們：在享受AI便利的同時(shí)，必須清醒認(rèn)識(shí)到技術(shù)本身的復(fù)雜性——即使是運(yùn)行在云端的高階模型，也可能因底層硬件的物理特性暴露用戶的私密信息。

對(duì)于普通用戶而言，短期內(nèi)可以盡量選擇信譽(yù)良好的AI服務(wù)平臺(tái)（優(yōu)先支持端側(cè)處理或嚴(yán)格隱私政策的服務(wù)），避免在公共或共享環(huán)境中輸入高度敏感內(nèi)容；

免責(zé)聲明：本文部分文字、圖片、音視頻來源于網(wǎng)絡(luò)、AI，不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán)，如有異議請(qǐng)與我們聯(lián)系。

ice

收藏 海報(bào)分享