Microsoft ha documentato una vulnerabilità critica che mette a rischio la privacy degli utenti di chatbot basati su modelli linguistici di grandi dimensioni, dimostrando come un attaccante in grado di monitorare il traffico di rete possa inferire con precisione allarmante gli argomenti discussi, nonostante l'uso di crittografia TLS. La scoperta, battezzata Whisper Leak, rappresenta un esempio concreto di come gli attacchi side-channel possano compromettere sistemi AI considerati sicuri, esponendo potenzialmente conversazioni sensibili in ambiti critici come sanità, consulenza legale e comunicazioni aziendali riservate.
Il team di ricerca di Microsoft ha sviluppato un classificatore binario addestrato specificamente per rilevare quando una conversazione con un LLM riguardava un topic specifico, in questo caso "la legalità del riciclaggio di denaro". L'esperimento ha utilizzato 100 prompt correlati al tema target e oltre 11.000 prompt generici, raccogliendo dati tramite tcpdump per catturare tempi di risposta e dimensioni dei pacchetti di rete. La randomizzazione dei campioni è stata implementata per evitare bias derivanti dalla cache del sistema.
L'aspetto più preoccupante emerge dalle metriche ottenute: utilizzando algoritmi come LightGBM, Bi-LSTM e BERT, i ricercatori hanno raggiunto tassi di accuratezza superiori al 98% misurati tramite Area Under the Precision-Recall Curve (AUPRC), una metrica particolarmente significativa per dataset sbilanciati. Il classificatore è riuscito a identificare "impronte digitali" distintive lasciate da conversazioni su argomenti specifici, analizzando esclusivamente pattern temporali e dimensioni dei pacchetti cifrati, senza mai accedere al contenuto testuale.
La radice del problema risiede nell'architettura stessa dei modelli linguistici moderni. Gli LLM generano testo token per token in modalità streaming per fornire feedback più rapido agli utenti, e sebbene HTTPS con TLS protegga i dati mediante cifrari simmetrici come AES o ChaCha20, questi mantengono dimensioni del ciphertext molto vicine a quelle del plaintext. Ogni token generato corrisponde quindi a un pacchetto di rete con caratteristiche dimensionali e temporali identificabili, creando pattern riconoscibili anche attraverso la crittografia.
Le implicazioni pratiche sono significative: un attaccante posizionato strategicamente sulla rete, o un'agenzia di sorveglianza con accesso ai provider ISP, potrebbe identificare utenti che discutono argomenti sensibili senza decifrare alcun contenuto. Test estesi hanno dimostrato che l'accuratezza dell'attacco continua a migliorare all'aumentare della dimensione del dataset, suggerendo che avversari pazienti con risorse adeguate potrebbero ottenere tassi di successo ancora più elevati, specialmente analizzando conversazioni multi-turno o pattern ricorrenti dello stesso utente.
Microsoft ha condiviso i risultati con i principali fornitori di AI, tra cui OpenAI, Mistral, Microsoft Azure e xAI, e tutti hanno implementato contromisure. OpenAI, seguita da Microsoft Azure, ha introdotto un campo di offuscamento nelle risposte streaming, inserendo testo casuale per mascherare le lunghezze effettive dei token. I test confermano che la mitigazione implementata da Azure riduce il rischio a livelli non praticamente sfruttabili. Mistral ha adottato un approccio simile attraverso l'introduzione di un nuovo parametro "p" dedicato all'offuscamento.
La vulnerabilità evidenzia una tensione fondamentale tra performance e sicurezza nell'AI conversazionale. Lo streaming token-by-token offre un'esperienza utente superiore con latenza percepita ridotta, ma espone inevitabilmente metadata strutturali che possono essere analizzati. Si tratta di un pattern già osservato in altri contesti di side-channel attack, come quelli basati su timing delle operazioni crittografiche o pattern di accesso alla cache dei processori, ma applicato per la prima volta sistematicamente ai modelli linguistici.
Per gli utenti finali, Microsoft raccomanda diverse strategie di mitigazione: evitare di discutere argomenti sensibili su reti non attendibili, utilizzare VPN per mascherare i pattern di traffico a livello ISP, preferire provider che hanno implementato contromisure documentate, optare per modalità non-streaming quando disponibili e mantenersi informati sulle pratiche di sicurezza dei fornitori. Le implicazioni per il settore europeo sono particolarmente rilevanti considerando le normative GDPR e il crescente focus sulla privacy by design richiesto dal Digital Markets Act.