Microsoft ha recentemente rivelato i dettagli di un nuovo attacco side-channel chiamato Whisper Leak, che sfrutta i modelli linguistici remoti in streaming per carpire informazioni sui temi delle conversazioni, anche quando i dati sono protetti da cifratura HTTPS. Questo attacco rappresenta un rischio concreto per la privacy, perché permette a un osservatore passivo – come un operatore di rete, un attaccante sulla stessa rete Wi-Fi o un attore statale – di dedurre se una conversazione con un'intelligenza artificiale verte su argomenti sensibili.

Il funzionamento di Whisper Leak si basa sull’osservazione dei pattern di traffico cifrato TLS tra utente e servizio LLM (Large Language Model). Analizzando la sequenza delle dimensioni dei pacchetti e il timing di arrivo, un attaccante addestrato può utilizzare modelli di machine learning come LightGBM, Bi-LSTM e BERT per classificare se la conversazione riguarda un determinato argomento, anche se il contenuto resta cifrato.

La modalità streaming dei LLM consente di ricevere risposte in modo incrementale, migliorando l’esperienza utente ma incrementando la superficie d’attacco. Microsoft ha dimostrato che questa tecnica è efficace nonostante la cifratura HTTPS, poiché la lunghezza dei pacchetti e la loro sequenza possono rivelare informazioni indirette sulla conversazione.

I test hanno mostrato che modelli come quelli sviluppati da Mistral, xAI, DeepSeek e OpenAI possono essere vulnerabili, raggiungendo tassi di identificazione del topic superiori al 98%. Un attaccante potrebbe quindi identificare se un utente pone domande su temi critici come riciclaggio di denaro o dissenso politico, anche senza accedere direttamente ai dati.

La minaccia aumenta se l’attaccante può raccogliere più campioni nel tempo, affinando i propri algoritmi. Per mitigare il rischio, fornitori come OpenAI, Microsoft e Mistral hanno introdotto contromisure, ad esempio aggiungendo sequenze di testo casuali alle risposte per mascherare la lunghezza dei token trasmessi. Microsoft consiglia inoltre di evitare discussioni sensibili su reti non sicure, utilizzare VPN, preferire modelli non streaming e affidarsi a provider che abbiano implementato adeguate mitigazioni.

Il caso Whisper Leak si inserisce in un quadro più ampio di vulnerabilità dei modelli linguistici e delle AI, con ricerche che evidenziano anche la loro suscettibilità a manipolazioni multi-turno. È quindi essenziale che sviluppatori e aziende adottino rigidi controlli di sicurezza, aggiornino le strategie di allineamento dei modelli e svolgano test periodici di red-teaming per proteggere privacy e dati sensibili.