Популярные чат-боты ИИ имеют тревожную уязвимость в шифровании — это означает, что хакеры могли легко перехватывать сообщения

Исследователи в области кибербезопасности обнаружили критическую уязвимость в архитектуре больших языковых моделей, лежащих в основе генеративного ИИ. Но насколько опасна эта ошибка? Эксперты по кибербезопасности из Microsoft выявили серьезный недостаток в современных системах искусственного интеллекта (ИИ), из-за которого разговоры с чат-ботами могли быть перехвачены хакерами.

Такая атака обходила бы шифрование, предназначенное для защиты приватности переписки. Метод атаки, получивший название Whisper Leak, относится к типу «атаки посредника» (man-in-the-middle), в ходе которой злоумышленники перехватывают сообщения во время их передачи между серверами. Она срабатывала потому, что хакеры могли считывать метаданные сообщений и на их основе делать выводы об их содержимом. Исследователи подробно описали эту атаку в работе, опубликованной 5 ноября в репозитории препринтов arXiv.

Они уведомили поставщиков больших языковых моделей (LLM) ещё в июне 2025 года. Некоторые компании, включая Microsoft и разработчика ChatGPT — OpenAI, оценили риски и внедрили защитные меры. Однако другие поставщики LLM отказались внедрять исправления, приводя различные аргументы. Некоторые даже не ответили на новые выводы, отмечают исследователи, которые намеренно не указывают, какие платформы проигнорировали исправления. «Я не удивлён», — сказал Live Science аналитик по кибербезопасности Дэйв Лир. — «LLM — это потенциальная золотая жила, учитывая объёмы информации, которые люди туда вводят. Не говоря уже о медицинских данных, которые теперь используют больницы для обработки результатов анализов. Рано или поздно кто-то должен был найти способ вытащить эту информацию».

Выявление уязвимостей в чат-ботах с ИИ

Генеративные ИИ-системы, такие как ChatGPT, — это мощные инструменты, которые создают ответы на основе цепочек запросов, подобно виртуальным помощникам на смартфонах. Некоторые модели обучаются на огромных массивах данных, чтобы генерировать текстовые ответы. Обычно переписка пользователей с LLM защищена с помощью протокола TLS — транспортного уровня безопасности, который предотвращает чтение данных посторонними. Но исследователям удалось перехватывать и делать выводы о содержимом сообщений, анализируя метаданные обмена между пользователем и чат-ботом.

Метаданные — это данные о данных: размер, частота, структура. Порой они ценнее самого содержания. Хотя текст сообщений между людьми и LLM оставался зашифрованным и недоступным, анализ метаданных позволил исследователям понять темы запросов. Учёные сделали это, анализируя размер зашифрованных пакетов данных — небольших структурированных блоков, передаваемых по сети, — исходящих от LLM. Им удалось разработать набор атак, основанных на времени передачи, последовательности токенов и длине ответов, чтобы реконструировать правдоподобные фразы без необходимости взлома шифрования.

Во многом атака Whisper Leak работает как продвинутая версия методов интернет-наблюдения, описанных в британском Investigatory Powers Act 2016 года, где содержание сообщений выводится по отправителю, времени, размеру и частоте пакетов, не читая сами сообщения. «Чтобы понять масштаб: если государственное агентство или интернет-провайдер мониторит трафик популярного чат-бота ИИ, оно может достаточно точно определить, кто задаёт вопросы на чувствительные темы — будь то отмывание денег, политическое инакомыслие или другие отслеживаемые темы — даже если весь трафик зашифрован», — пишут исследователи по безопасности Джонатан Бар Ор и Джефф Макдоналд в блоге Microsoft Defender Security Research Team.

Можно ли уменьшить риск?

Поставщики LLM могут внедрить разные меры защиты. Например, случайная набивка (random padding) — добавление случайных байтов в сообщение, чтобы исказить длину пакетов и сделать анализ метаданных менее точным. Исследователи подчеркивают: проблема Whisper Leak — это не ошибка кода, а следствие архитектуры, по которой развернуты LLM. Устранение уязвимости возможно, но не все компании внедрили защиту. До тех пор, пока разработчики чат-ботов не исправят уязвимость, исследователи рекомендуют пользователям: избегать обсуждения чувствительных тем в ненадёжных сетях; выяснить, внедрил ли поставщик LLM защитные меры; использовать VPN для дополнительной защиты, потому что он скрывает личность и местоположение пользователя.

• Грибы как компьютерные чипы: учёные создают «живую память» из шиитаке
• Учёные создали трёхслойное микрофлюидное устройство для сверхэффективного охлаждения электроники
• Обычный кристалл оказался идеальным материалом для технологий на сверхнизких температурах
• Учёные научились превращать снимки атомно-силового микроскопа в точные 3D-модели движений белков
• Учёные создали уникальный гидрогель для «неклонируемых» меток безопасности
• Роботы нового поколения: в Caltech создали систему, которая может ходить, ездить и летать
• Учёные создали 3D-печатные материалы, которые полностью гасят вибрации
• Квантовые кристаллы: как учёные из Оберна открыли путь к новой технологической революции