黑客可窥探你和AI聊天的内容，微软官方披露侧信道攻击

即使内容加密，你的AI对话主题也可能被窥探。这不是好莱坞剧本，而是微软最新披露的现实威胁。

01

微软披露AI聊天侧信道攻击的警示

微软安全团队在2025年11月8日公开了一项名为“Whisper Leak”的侧信道攻击技术，这种攻击能够通过分析加密网络流量的元数据，以超过98%的准确率推断用户与AI对话的主题。该漏洞影响包括ChatGPT、Gemini、Microsoft Copilot、Claude和Perplexity在内的主流生成式AI应用。

这种攻击得以实现的关键在于，当前AI服务普遍采用token-by-token的流式传输方式以提升交互体验，而这一机制在网络层面遗留下了可辨识的通信"指纹"。研究人员通过训练专门的模型，证明攻击确实有效，在实验中识别敏感话题的准确率超过了98%，存在大规模监控的风险。

而这种攻击之所以令人担忧，在于它不需要破解TLS等加密协议，而是通过分析数据包大小、传输时序和序列模式来推测对话内容。就像透过磨砂玻璃看一个人的影子，攻击者看不清具体细节，但能猜到对方在做什么。

02

攻击原理

流量分析如何泄露对话主题

Whisper Leak攻击的核心在于利用了AI聊天服务的流式传输机制。当用户与AI对话时，服务采用token-by-token的方式逐步发送响应，以营造类似人类打字的自然体验。

这种流式传输在网络层留下了独特“指纹”。不同主题的对话会产生系统性差异的元数据模式。例如，关于“洗钱”等敏感话题的提问，其应答数据包的节奏和大小组合与日常对话截然不同。

侧信道攻击并非全新概念。传统上，这类攻击主要针对加密硬件，通过分析功耗、电磁辐射或时序变化来提取密钥信息。但Whisper Leak的创新之处在于将这种技术应用于AI聊天服务的大规模监控。

微软安全专家Jonathan Bar Or和Geoff McDonald指出，攻击者无需高级权限，任何能监控网络流量的人都可能利用这一漏洞，包括互联网服务提供商、公共Wi-Fi上的黑客，甚至是共用咖啡店Wi-Fi的陌生人。

03

现实威胁：谁面临风险？

Whisper Leak攻击对特定群体构成严重威胁。记者、活动家以及寻求法律或医疗建议的用户可能因此暴露敏感对话主题。即使对话内容本身加密，对话主题的泄露也可能引发后续审查或风险。

研究团队通过训练机器学习模型，证明了这种攻击的有效性。在受控实验环境中，分类器识别特定敏感话题的准确率超过98%，表明其在现实中进行大规模、高精度定点监控的潜力。

这类攻击的出现，正值AI聊天服务日益普及之际。从日常查询到敏感讨论，用户越来越依赖AI助手。然而，Whisper Leak漏洞意味着，即使内容加密，元数据也能透露大量信息。

侧信道攻击的本质是利用密码实现过程中产生的依赖于密钥的侧信息来实施密钥恢复攻击。在AI聊天场景下，攻击者通过分析流量模式而非内容本身，来推断对话性质。

04

防御措施

安全与体验的平衡博弈

防御措施：安全与体验的平衡博弈

面对Whisper Leak威胁，微软已与多家AI供应商合作采取缓解措施。现行方案主要分为三类：

一是通过随机填充或内容混淆来破坏数据包大小与原文长度的关联性；

二是采用tokens批处理，将多个tokens打包后发送，以降低时间精度；

三是主动注入虚拟数据包，干扰流量模式。

然而，这些措施在提升安全性的同时，也带来了延迟增加、带宽消耗增大等代价，迫使服务商在用户体验和隐私保护之间做出权衡。

对普通用户而言，在处理高度敏感信息时，优先选择非流式应答模式，并避免在不受信任的网络中进行查询，是当前有效的防护手段。一些注重隐私的服务如ProtonMail推出的Lumo AI助手，采用全程端到端加密技术，确保即使服务提供商也无法解密用户内容。

微信订阅

欢迎邮局订阅2026年《电脑报》

订阅代号：77-19

全年订价：400.00元 零售单价：8元

邮局服务热线：11185

编辑｜张毅

主编｜黎坤

总编辑｜吴新

爆料联系：cpcfan1874（微信）

壹零社：用图文、视频记录科技互联网新鲜事、电商生活、云计算、ICT领域、消费电子，商业故事。《中国知网》每周全文收录；中国科技报刊100强；2021年微博百万粉丝俱乐部成员；2022年抖音优质科技内容创作者