DevOps VietNam

Microsoft tiết lộ ‘Whisper Leak’: Tấn công side-channel chat LLM ngay cả khi đã mã hóa

Microsoft vừa công bố chi tiết về ‘Whisper Leak’, một cuộc tấn công side-channel kiểu mới nhắm vào LLM từ xa. Kỹ thuật này cho phép kẻ tấn công thụ động, có khả năng quan sát lưu lượng mạng, suy luận chủ đề của cuộc trò chuyện AI ngay cả khi dữ liệu đã được mã hóa bằng HTTPS trong một số trường hợp nhất định.

Theo các nhà nghiên cứu của Microsoft, kẻ tấn công không cần phá vỡ mã hóa TLS. Thay vào đó, chúng chỉ cần ở vị trí có thể quan sát lưu lượng (ví dụ như một nhà cung cấp dịch vụ internet (ISP), Network Infrastructure Engineer, hoặc tin tặc trên cùng router Wi-Fi). Cuộc tấn công này khai thác streaming-mode của các LLM, tính năng cho phép mô hình trả lời tăng cường từng phần thay vì chờ toàn bộ phản hồi.

Kỹ thuật ‘Whisper Leak’ hoạt động bằng cách phân tích size và inter-arrival times của packets được mã hóa. Kẻ tấn công sau đó sử dụng classifier đã được huấn luyện (như LightGBM, Bi-LSTM, và BERT) để kiểm tra các chuỗi này, từ đó suy luận xem cuộc trò chuyện có thuộc một chủ đề nhạy cảm mục tiêu hay không.

Tác động của Whisper Leak là rất nghiêm trọng. Microsoft cảnh báo: “Nếu một cơ quan chính phủ hoặc ISP giám sát lưu lượng truy cập đến một chatbot AI phổ biến, họ có thể xác định một cách đáng tin cậy những người dùng đang hỏi về các chủ đề nhạy cảm cụ thể dù đó là rửa tiền, bất đồng chính kiến… hay ngay cả khi toàn bộ lưu lượng đã được mã hóa”.

Trong thử nghiệm, các nhà nghiên cứu đã đạt được độ chính xác trên 98% khi nhắm vào các mô hình từ Mistral, xAI, DeepSeek và OpenAI. Cuộc tấn công càng trở nên hiệu quả hơn khi kẻ tấn công thu thập được nhiều mẫu huấn luyện theo thời gian.

Sau khi công bố có trách nhiệm, Microsoft xác nhận OpenAI, Mistral, và chính Microsoft đã triển khai các biện pháp giảm thiểu. Giải pháp hiệu quả nhất là thêm “một chuỗi văn bản ngẫu nhiên có độ dài thay đổi” vào mỗi phản hồi, làm xáo trộn độ dài của token và vô hiệu hóa kỹ thuật side-channel này. Microsoft khuyến cáo người dùng lo ngại về quyền riêng tư nên tránh thảo luận chủ đề nhạy cảm trên mạng không tin cậy, sử dụng VPN, hoặc chuyển sang các nhà cung cấp đã áp dụng biện pháp vá lỗi.

Công bố này được đưa ra đồng thời với một đánh giá mới từ Cisco AI Defense, cho thấy 8 mô hình LLM open-weight (như Llama 3.3-70B-Instruct, Qwen3-32B, Gemma 3-1B-IT) rất dễ bị xâm nhập trước các cuộc tấn công multi-turn. Điều này nhấn mạnh sự bất lực có hệ thống của các mô hình hiện tại trong việc duy trì các rào cản an toàn khi tương tác kéo dài.