微软研究团队发现，恶意攻击者能够通过侧信道攻击技术推断用户与大语言模型（LLM）的对话主题。

微软研究团队揭示，恶意攻击者能利用侧信道攻击技术推断用户与大语言模型的对话主题。据研究人员向The Register透露，Anthropic、AWS、DeepSeek及Google等厂商的服务仍存在此类漏洞，对个人与企业通信安全构成潜在威胁。

侧信道攻击通过监测功耗、电磁辐射或时序等间接信号窃取加密密钥等敏感信息。尽管此类攻击传统上针对硬件（如Spectre、Meltdown等CPU漏洞），但研究表明大语言模型同样存在侧信道风险。

微软团队开发的“Whisper Leak”攻击通过解析流式响应中的数据包尺寸与时间序列模式，从加密的大语言模型查询中推测提示词主题。流式传输模式下，模型以增量方式分块发送响应内容，使具备网络拦截能力的攻击者能够嗅探传输中的Token。

研究人员Jonathan Bar Or与Geoff McDonald指出：“能监控加密流量的攻击者（如ISP层面的国家行为体、局域网入侵者或公共WiFi用户）可利用此技术判断用户提问是否涉及特定敏感话题。”他们强调，这对生活在高压政权下的用户构成现实威胁——此类政府可能监控涉及抗议、违禁内容、选举或新闻的对话。

微软已向受影响厂商通报漏洞，其中Mistral、微软自身、OpenAI及xAI已部署防护措施。测试范围还涵盖阿里巴巴Qwen、Anthropic Claude、Amazon Nova等模型，但部分厂商以不同理由拒绝修复，另有厂商未予回应。Bar Or证实：“截至目前，未收到其他供应商的新防护方案通知。”

攻击原理验证
研究团队通过生成100个关于洗钱合法性的提问变体，混合常规流量后训练二分类器区分目标主题。通过tcpdump记录响应时序与数据包尺寸，并采用三种机器学习模型（LightGBM、Bi-LSTM、DistilBERT）进行多模式分析。结果显示，多个模型的分类器AUPRC指标超过98%，实现敏感与常规流量的近乎完美区分。

在模拟监测1万次对话（仅含1次目标主题）的场景中，攻击者能在零误报前提下捕获5%-50%的敏感对话。研究表明，监管机构或ISP可据此可靠识别用户查询内容，即使流量全程加密。

防护机制
现有防护方案包括：

随机文本注入：微软与OpenAI采用Cloudflare方案，通过添加随机序列干扰数据包尺寸预测
Token组播：聚合多个Token后传输，减少可观测网络事件
虚拟数据包插入：随机注入合成数据包混淆时序特征
微软确认其Azure防护措施已将攻击效能降至非风险水平。

Q1：Whisper Leak攻击的核心机制是什么？

A：通过解析流式LLM响应中的数据包尺寸与传输时序，从加密流量中推断对话主题。

Q2：哪些厂商尚未有效应对此漏洞？

A：包括Anthropic、AWS、DeepSeek、Google在内的部分厂商仍未全面部署防护措施。

Q3：有效的缓解方案有哪些？

A：主要措施包括随机文本注入、Token组播传输及虚拟数据包插入等技术手段。

（本文基于微软研究院公开技术论文及The Register报道）