Výzkumníci Microsoftu objevili techniku, která umožňuje odhalit téma šifrované konverzace s jazykovým modelem – bez prolomení samotného šifrování. Útok „Whisper Leak“ využívá analýzu síťového provozu k rozpoznání citlivých témat, což vyvolává vážné otázky ohledně soukromí v éře AI.
Před několika dny oznámil tým výzkumníků společnosti Microsoft zjištění, které překvapilo jak odvětví umělé inteligence, tak kybernetické bezpečnosti: existenci druhu kybernetického útoku nazvaného „Whisper Leak „, který je schopen odvodit téma konverzace mezi uživateli a jazykovými modely – například ChatGPT nebo Gemini – i v případě, že je tato komunikace chráněna šifrováním TLS.
Objev nezahrnuje chybu v samotném šifrování, ale tzv. únik postranních kanálů: formu odposlechu, která neprolomí šifrování, ale využívá nepřímé signály v síťovém provozu – například velikost paketů a časové intervaly mezi nimi – k vyvození toho, co se děje „za zamčenými dveřmi“.
Microsoft Just Found "Whisper Leak." We Fixed It a Year Ago. https://t.co/EuFLPftBob via @YouTube
— Raymond Johnson (@RaymondMJohnson) December 3, 2025
Související článek
Studie ukazuje, že zranitelnost je systémová a průřezová: ovlivňuje řadu obchodních modelů, včetně modelů velkých dodavatelů, jako jsou OpenAI, Anthropic, Google, AWS, DeepSeek a Alibaba.
Co přesně je postranní kanál?
Útok postranním kanálem nemá přístup k obsahu zprávy, ale sleduje její vzorce. V klasické kryptografii se tyto útoky používaly ke krádeži klíčů analýzou spotřeby energie čipu nebo časových změn během operace.
V případě jazykových modelů vzniká postranní kanál ze samotného způsobu, jakým systémy generují a přenášejí text: sekvenčně a v reálném čase. Každé slovo nebo token, které model vygeneruje, je uživateli odesláno okamžitě, aby bylo zajištěno „bezproblémové“ prostředí.
Ačkoli je veškerý provoz šifrován, velikost a kadence těchto fragmentů nejsou skryty. Podobně jako když útočník poslouchá rytmus rozhovoru, aniž by rozuměl slovům, může rozpoznat (pomocí speciálně vyškolené umělé inteligence) určité statistické vzorce, které odhalují předmět rozhovoru.
Jak Whisper Leak funguje
Výzkumníci společnosti Microsoft vymysleli experiment s konkrétním cílem: otestovat, zda mohou identifikovat konverzace na citlivé téma – v tomto případě tzv. „praní špinavých peněz“ – pouhým sledováním šifrovaného provozu. K tomu účelu použili tzv:
- Vygenerovali 100 variant otázek na toto téma („Je praní špinavých peněz nelegální?“, „Existují výjimky ze zákonů o praní špinavých peněz?“ atd.).
- Smíchali je s více než 11 000 náhodnými otázkami, aby simulovali reálné prostředí se šumem.
- Zatímco modely odpovídaly, zaznamenávali síťový provoz pomocí nástroje tcpdump, přičemž ukládali pouze velikost paketů a čas mezi nimi.
- Nakonec natrénovali tři typy modelů strojového učení (LightGBM, Bi-LSTM a upravenou verzi BERT), aby klasifikovali provoz do dvou kategorií: „citlivé téma“ nebo „ostatní témata“.
Výsledek byl alarmující: v 17 z 28 testovaných modelů dosáhly klasifikátory více než 98% přesnosti. Dokonce i v reálných podmínkách – jedna citlivá konverzace mezi 10 000 normálními – umožnily některé modely dokonalou detekci 5-20 % konverzací na cílové téma, a to bez falešně pozitivních výsledků.
Bezpečnostní důsledky a obavy
Objev Whisper Leak vyvolává vážné obavy o soukromí a bezpečnost online komunikace. Ve světě, kde stále více interakcí probíhá prostřednictvím digitálních platforem, je schopnost útočníka odvodit téma konverzace, aniž by měl přímý přístup k jejímu obsahu, alarmující. To je obzvláště znepokojivé v zemích s autoritářskými režimy, kde diskuse o lidských právech, politice nebo aktivismu mohou ohrozit životy občanů.
Takové zranitelnosti by navíc mohli zneužít záškodníci k dezinformačním nebo manipulačním kampaním. Na základě identifikace citlivých témat by mohli cílit reklamu nebo zavádějící obsah na konkrétní uživatele a ovlivňovat jejich názory nebo rozhodnutí.
Možná řešení a zmírnění
Pro řešení této zranitelnosti navrhují výzkumníci několik strategií. Jednou z nich je zavedení šumu do síťového provozu, který by mohl ztížit identifikaci konkrétních vzorů. Další možností je upravit způsob, jakým jazykové modely generují a přenášejí text, například odesíláním dat v dávkách, nikoli postupně.
Zkoumá se také použití technik homomorfního šifrování, které by umožnilo provádět operace se zašifrovanými daty bez nutnosti dešifrování. Ačkoli jsou tato řešení stále ve fázi vývoje, představují krok k ochraně soukromí ve stále digitálnějším světě.
Budoucnost soukromí ve věku umělé inteligence
Rozvoj umělé inteligence a rostoucí závislost na digitálních technologiích představují pro soukromí a bezpečnost značné výzvy. S tím, jak se jazykové modely integrují do stále více aspektů našeho každodenního života, je nezbytné, aby vývojáři a společnosti upřednostňovali ochranu údajů uživatelů.
Spolupráce mezi výzkumnými pracovníky, technologickými společnostmi a regulačními orgány bude mít zásadní význam pro vývoj standardů a postupů, které zajistí bezpečnost online komunikace. Pouze společným úsilím můžeme řešit vznikající hrozby a chránit soukromí uživatelů ve věku umělé inteligence.