黑客可窺探你和AI聊天的內容，微軟官方披露側信道攻擊

即使內容加密，你的AI對話主題也可能被窺探。這不是好萊塢劇本，而是微軟最新披露的現實威脅。

01

微軟披露AI聊天側信道攻擊的警示

微軟安全團隊在2025年11月8日公開了一項名為“Whisper Leak”的側信道攻擊技術，這種攻擊能夠通過分析加密網絡流量的元數據，以超過98%的準確率推斷用戶與AI對話的主題。該漏洞影響包括ChatGPT、Gemini、Microsoft Copilot、Claude和Perplexity在內的主流生成式AI應用。

這種攻擊得以實現的關鍵在于，當前AI服務普遍采用token-by-token的流式傳輸方式以提升交互體驗，而這一機制在網絡層面遺留下了可辨識的通信"指紋"。研究人員通過訓練專門的模型，證明攻擊確實有效，在實驗中識別敏感話題的準確率超過了98%，存在大規模監控的風險。

而這種攻擊之所以令人擔憂，在于它不需要破解TLS等加密協議，而是通過分析數據包大小、傳輸時序和序列模式來推測對話內容。就像透過磨砂玻璃看一個人的影子，攻擊者看不清具體細節，但能猜到對方在做什么。

02

攻擊原理

流量分析如何泄露對話主題

Whisper Leak攻擊的核心在于利用了AI聊天服務的流式傳輸機制。當用戶與AI對話時，服務采用token-by-token的方式逐步發送響應，以營造類似人類打字的自然體驗。

這種流式傳輸在網絡層留下了獨特“指紋”。不同主題的對話會產生系統性差異的元數據模式。例如，關于“洗錢”等敏感話題的提問，其應答數據包的節奏和大小組合與日常對話截然不同。

側信道攻擊并非全新概念。傳統上，這類攻擊主要針對加密硬件，通過分析功耗、電磁輻射或時序變化來提取密鑰信息。但Whisper Leak的創新之處在于將這種技術應用于AI聊天服務的大規模監控。

微軟安全專家Jonathan Bar Or和Geoff McDonald指出，攻擊者無需高級權限，任何能監控網絡流量的人都可能利用這一漏洞，包括互聯網服務提供商、公共Wi-Fi上的黑客，甚至是共用咖啡店Wi-Fi的陌生人。

03

現實威脅：誰面臨風險？

Whisper Leak攻擊對特定群體構成嚴重威脅。記者、活動家以及尋求法律或醫療建議的用戶可能因此暴露敏感對話主題。即使對話內容本身加密，對話主題的泄露也可能引發后續審查或風險。

研究團隊通過訓練機器學習模型，證明了這種攻擊的有效性。在受控實驗環境中，分類器識別特定敏感話題的準確率超過98%，表明其在現實中進行大規模、高精度定點監控的潛力。

這類攻擊的出現，正值AI聊天服務日益普及之際。從日常查詢到敏感討論，用戶越來越依賴AI助手。然而，Whisper Leak漏洞意味著，即使內容加密，元數據也能透露大量信息。

側信道攻擊的本質是利用密碼實現過程中產生的依賴于密鑰的側信息來實施密鑰恢復攻擊。在AI聊天場景下，攻擊者通過分析流量模式而非內容本身，來推斷對話性質。

04

防御措施

安全與體驗的平衡博弈

防御措施：安全與體驗的平衡博弈

面對Whisper Leak威脅，微軟已與多家AI供應商合作采取緩解措施。現行方案主要分為三類：

一是通過隨機填充或內容混淆來破壞數據包大小與原文長度的關聯性；

二是采用tokens批處理，將多個tokens打包后發送，以降低時間精度；

三是主動注入虛擬數據包，干擾流量模式。

然而，這些措施在提升安全性的同時，也帶來了延遲增加、帶寬消耗增大等代價，迫使服務商在用戶體驗和隱私保護之間做出權衡。

對普通用戶而言，在處理高度敏感信息時，優先選擇非流式應答模式，并避免在不受信任的網絡中進行查詢，是當前有效的防護手段。一些注重隱私的服務如ProtonMail推出的Lumo AI助手，采用全程端到端加密技術，確保即使服務提供商也無法解密用戶內容。

微信訂閱

歡迎郵局訂閱2026年《電腦報》

訂閱代號：77-19

全年訂價：400.00元 零售單價：8元

郵局服務熱線：11185

編輯｜張毅

主編｜黎坤

總編輯｜吳新

爆料聯系：cpcfan1874（微信）

壹零社：用圖文、視頻記錄科技互聯網新鮮事、電商生活、云計算、ICT領域、消費電子，商業故事。《中國知網》每周全文收錄；中國科技報刊100強；2021年微博百萬粉絲俱樂部成員；2022年抖音優質科技內容創作者