Zprávy, které lidé posílají chatbotům s AI, měly být chráněné šifrováním. Přesto hackeři dokázali obsah těchto konverzací číst.
Zatímco se svět nadšeně vrhá do éry generativní AI a začíná jí psát stále citlivější věci, výzkumníci z Microsoftu varují: architektura velkých jazykových modelů skrývá zásadní slabinu. Ta umožnila obejít část zabezpečení a z prostých metadat odvodit, o čem si uživatelé s chatboty píší. Zranitelnost dostala název Whisper Leak. Na první pohled jde „jen“ o útok, kdy útočník zachytává komunikaci mezi dvěma stranami. Jenže tentokrát není nutné dešifrovat samotný obsah, stačí mu vše okolo.
Metadata jako slabina šifrované komunikace
Ačkoli konverzace mezi uživatelem a chatbotem probíhají přes protokol TLS, který má zajistit, že se do nich nikdo nepovolaný nepodívá, Whisper Leak využívá fakt, že šifrování nechrání „obal“ komunikace. Útočníci tak dokázali analyzovat velikost zpráv, časové odstupy mezi nimi, délky generovaných dotazů a další informace. Z nich pak byli schopni s překvapivou přesností odvodit témata konverzace a někdy i sestavit hrubou rekonstrukci celých vět.
To se ukazuje jako reálné riziko. Zvlášť proto, že metadata bývají často ještě citlivější než samotná data. Prozrazují například, jak dlouho uživatel na odpověď čekal, zda otázka byla krátká nebo dlouhá, či zda odpověď modelu byla neobvykle podrobná.
Ne všichni poskytovatelé reagovali
Microsoft a OpenAI podle výzkumníků reagovali poměrně rychle. Zavedli opravy a analyzovali další možná rizika. Jiní poskytovatelé LLM však nápravu buď odložili, nebo ignorovali. Některé platformy dokonce na zjištění vůbec neodpověděly. A to je problém, protože samotná chyba není zanedbatelným omylem, ale architektonickým důsledkem způsobu, jak jsou tyto služby provozovány. Bez aktivní snahy poskytovatelů tak zranitelnost nezmizí.
Výzkumníci uvádí, že riziko lze snížit relativně jednoduše, třeba přidáním náhodných bajtů do odpovědí, které „zamaskují“ skutečnou délku paketů a zkomplikuje tak odvozování obsahu. Tato metoda je známá jako padding, ale zatím ji nepoužívá každý.
Whisper Leak vs. vládní dohled
Výzkum přirovnává Whisper Leak k modernizované verzi metod popsaných v britském zákoně o vyšetřovacích pravomocích z roku 2016. Tehdy šlo o získávání informací o komunikaci jen z jejího „tvrdého obalu“—kdo, kdy a jak dlouho si píše. Whisper Leak však ukazuje, že dnešní modely AI jsou natolik předvídatelné, že z metadat lze odvodit mnohem více. Dokud se situace nevyřeší systémově, lidé by měli být obezřetní. Výzkumníci doporučují:
-
neprobírat citlivé nebo osobní informace s chatboty na veřejných či nezabezpečených sítích,
-
používat VPN jako další vrstvu ochrany,
-
zjistit, zda jejich poskytovatel AI implementoval příslušné záplaty,
-
a uvědomit si, že „šifrovaná komunikace“ ještě neznamená „zcela bezpečná“.
foto: Pixabay
Štítky: AI, chatbot, hackeři, konverzace, šifrování, umělá inteligence, útok
Sdílet na Facebooku
