هجوم Whisper Leak يكشف مواضيع محادثات الذكاء الاصطناعي المشفرة

يمكن للمهاجمين استنتاج موضوع محادثتك مع روبوتات الدردشة، حتى لو كانت مشفرة، عبر تحليل أنماط البيانات.

كشفت شركة مايكروسوفت عن تفاصيل هجوم قناة جانبية جديد يستهدف النماذج اللغوية عن بعد، والذي يمكن أن يمكّن مهاجمًا سلبيًا قادرًا على مراقبة حركة مرور الشبكة من استنتاج تفاصيل حول مواضيع المحادثات، على الرغم من حمايتها بالتشفير.

وأشارت الشركة إلى أن هذا التسريب للبيانات المتبادلة بين البشر ونماذج اللغة التي تعمل بوضع البث المباشر (Streaming Mode) يمكن أن يشكل مخاطر جسيمة على خصوصية اتصالات المستخدمين والشركات. وقد أُطلق على هذا الهجوم اسم Whisper Leak.

مصطلح تقني: هجوم القناة الجانبية (Side-channel attack): هو نوع من الهجمات السيبرانية لا يستهدف الثغرات المباشرة في الخوارزمية (مثل كسر التشفير)، بل يستغل المعلومات المتسربة من التطبيق العملي للنظام، مثل توقيت العمليات، استهلاك الطاقة، أو في هذه الحالة، حجم حزم البيانات وتوقيتها.

وقال باحثو مايكروسوفت: "يمكن للمهاجمين السيبرانيين القادرين على مراقبة حركة المرور المشفرة (على سبيل المثال، جهة حكومية على مستوى مزود خدمة الإنترنت، أو شخص على الشبكة المحلية) استخدام هذا الهجوم السيبراني لاستنتاج ما إذا كان استفسار المستخدم يتعلق بموضوع معين".

بمعنى آخر، يسمح الهجوم للمهاجم بمراقبة حركة مرور TLS المشفرة بين المستخدم وخدمة النموذج اللغوي الكبير (LLM)، واستخراج تسلسلات حجم الحزم وتوقيتها، واستخدام نماذج مُدرَّبة (classifiers) لاستنتاج ما إذا كان موضوع المحادثة يتطابق مع فئة مستهدفة حساسة.

تعتبر تقنية البث المباشر (Streaming) في النماذج اللغوية الكبيرة حيوية، حيث تسمح للمستخدم بتلقي الاستجابات بشكل تدريجي بدلاً من الانتظار حتى يتم حساب الإجابة بأكملها. لكن هذه التقنية تخلق "بصمة" فريدة من البيانات.

تكمن أهمية التقنية التي أظهرتها مايكروسوفت في أنها تعمل على الرغم من أن الاتصالات مع روبوتات الدردشة مشفرة باستخدام HTTPS. فبدلاً من قراءة المحتوى، يقوم الهجوم بتحليل أنماط البيانات، مثل حجم حزم البيانات والفترات الزمنية بين وصولها. وقد أثبتت مايكروسوفت أن تسلسل هذه الأنماط يحتوي على معلومات كافية لتصنيف موضوع الاستفسار الأولي بدقة.

لاختبار هذه الفرضية، قامت الشركة بتدريب نموذج مصنف قادر على التمييز بين موضوع معين وبقية المحادثات (الضوضاء). والنتيجة هي أن العديد من النماذج من Mistral، وxAI، وDeepSeek، وOpenAI حققت درجات دقة تتجاوز 98%، مما يجعل من الممكن للمهاجم الذي يراقب المحادثات العشوائية تحديد موضوع معين بشكل موثوق.

وقالت مايكروسوفت: "إذا كانت وكالة حكومية أو مزود خدمة إنترنت يراقب حركة المرور إلى روبوت دردشة شهير، فيمكنهم تحديد المستخدمين الذين يطرحون أسئلة حول مواضيع حساسة معينة — سواء كان ذلك غسيل أموال أو معارضة سياسية — على الرغم من أن كل حركة المرور مشفرة".

بعد الكشف المسؤول عن الثغرة، قامت شركات OpenAI، وMistral، ومايكروسوفت، وxAI بنشر إجراءات تخفيف لمواجهة هذا الخطر. ويتضمن أحد الإجراءات المضادة الفعالة إضافة "تسلسل عشوائي من النص متغير الطول" إلى كل استجابة، مما يؤدي بدوره إلى إخفاء طول كل رمز وجعل هجوم القناة الجانبية غير فعال.

توصي مايكروسوفت المستخدمين القلقين بشأن خصوصيتهم بما يلي:

• تجنب مناقشة مواضيع حساسة للغاية عند استخدام شبكات غير موثوق بها.

• استخدام VPN لطبقة حماية إضافية.

• استخدام نماذج لا تعتمد على وضع البث المباشر.

• التحول إلى مقدمي الخدمات الذين طبقوا إجراءات التخفيف.

يأتي هذا الكشف في الوقت الذي أظهر فيه تقييم جديد لثمانية نماذج لغوية كبيرة مفتوحة الوزن أنها شديدة التأثر بالتلاعب العدائي، خاصة عندما يتعلق الأمر بالهجمات متعددة الأدوار (Multi-turn Attacks).

وقال باحثو Cisco AI Defense: "تؤكد هذه النتائج وجود عجز منهجي في النماذج مفتوحة الوزن الحالية للحفاظ على حواجز الأمان عبر التفاعلات الممتدة".

تظهر هذه الاكتشافات أن المؤسسات التي تتبنى نماذج مفتوحة المصدر يمكن أن تواجه مخاطر تشغيلية في غياب حواجز أمان إضافية، مما يزيد من حجم الأبحاث التي تكشف عن نقاط ضعف أمنية أساسية في النماذج اللغوية الكبيرة وروبوتات الدردشة بالذكاء الاصطناعي.