微软披露 “Whisper Leak” 隐私风险，AI 对话可能被侧听

微软安全研究团队公开了一种名为 “Whisper Leak” 的严重隐私问题。这是一类针对现代 AI 聊天服务的侧信道攻击，可能让恶意人员偷看用户与 AI 的交流内容。

这类攻击的关键点在于，它不需要破解 TLS 等常见的加密协议，而是通过分析加密网络流量中的元数据，例如数据包大小、发送时间间隔以及顺序模式，来推断用户与 AI 的对话主题。因为很多 AI 服务为了提升交互体验，会采用按 token 流式输出的方式，这在网络层会留下独特的“指纹”，从而让攻击变得可行。

研究人员通过训练机器学习模型，并收集大量 AI 回复的加密数据包轨迹，验证了这种方法的有效性。不同话题的对话会形成有规律的元数据差异。比如涉及“洗钱”等敏感问题的提问，其回复数据包的节奏和大小与日常聊天相比明显不同。在受控实验中，分类器识别特定敏感话题的准确率超过 98%，显示了在真实场景下进行高精度监测的潜力。

这一漏洞让各类 AI 聊天服务面临广泛的系统性风险。攻击者，尤其是互联网服务提供商（ISP）或公共 Wi‑Fi 中的恶意人员，可能借助 “Whisper Leak” 观察用户的网络流量，从而识别并标记敏感对话。这对记者、活动人士以及需要法律或医疗建议的普通用户来说，是一个严重威胁。即便对话内容被加密，用户的对话“主题”也可能外泄，进而引发审查或带来风险。

在微软遵循负责任披露后，多家主流 AI 厂商已迅速采取缓解措施。目前的方案主要包括：使用随机填充或内容扰动来打破数据包大小与内容长度的映射关系；对 tokens 进行批量处理以降低时间精度；主动注入虚拟数据包以干扰流量模式。这些做法提升了安全性，但也会带来更高延迟和更大带宽消耗，服务方需要在用户体验与隐私保护之间做出取舍。

对普通用户而言，处理高度敏感信息时，尽可能选择非流式回复模式，并避免在不可信网络中进行查询，是目前比较有效的防护方式。

划重点:

🌐 研究人员揭示 “Whisper Leak” 属于新的隐私漏洞，可通过分析网络流量元数据侧听 AI 聊天。  

🔍 该攻击不需破解加密协议，识别准确率超过 98%，可能让恶意人员定位敏感对话。  

🛡️ 多家 AI 厂商已采取应对，但用户在不受信任网络中仍需谨慎保护敏感信息。