Исследователи Microsoft сообщили о критической уязвимости в архитектуре генеративных ИИ, которая может поставить под угрозу конфиденциальность миллионов пользователей. Ошибка позволяла злоумышленникам перехватывать зашифрованные диалоги с чат-ботами и восстанавливать содержание переписок через метаданные. Эксперты уже окрестили атаку "Whisper Leak" и предупреждают: угроза куда глубже, чем кажется. Об этом рассказала команда Microsoft Defender Security Research Team.
Современные языковые модели — ChatGPT и другие генеративные ИИ — обычно защищают данные с помощью протокола TLS, предотвращающего чтение сообщений посторонними. Однако исследователи показали, что даже при сохранении шифрования можно определить тематику беседы, если проанализировать метаданные — объем, частоту и последовательность пакетов данных. Это стало возможным из-за особенностей архитектуры, заложенных в сами системы, — как и в случае, когда поэтические тексты способны взламывать нейросети.
"Если наблюдать за трафиком популярного чат-бота, можно точно определить, о каких темах спрашивают пользователи — будь то политика, деньги или иные чувствительные вопросы, — даже не расшифровывая сообщения", — отметили исследователи Джонатан Бар Ор и Джефф Макдональд в блоге Microsoft Defender Security Research Team.
Суть атаки Whisper Leak в том, что злоумышленник может действовать "посередине" между сервером и пользователем, считывая структуру пакетов данных. Анализируя длину и ритм токенов, исследователи смогли восстанавливать примерные фразы сообщений, не вскрывая шифр напрямую.
О новой угрозе специалисты сообщили поставщикам языковых моделей еще в июне 2025 года. Microsoft и OpenAI оперативно оценили риски и внедрили защитные меры. Однако часть компаний, по словам исследователей, отказалась реагировать или проигнорировала проблему. Имена этих поставщиков в отчете не раскрываются, но факт несогласованности усилий подчеркивает системную уязвимость индустрии.
"Меня не удивляет подобная находка. Генеративные модели хранят огромное количество личной информации, включая медицинские данные. Рано или поздно кто-то должен был найти способ их вытащить", — рассказал аналитик по кибербезопасности Дэйв Лир изданию Live Science.
Подобные атаки напоминают методы слежки, используемые правительственными структурами: по размеру и времени передачи пакетов можно определить характер общения, даже если само содержание остается скрытым. Это поднимает вопросы не только технической, но и этической безопасности.
Исследователи уверены, что проблему можно устранить технически. Один из способов — добавить в систему случайные "пустые" байты (padding), чтобы скрыть реальный размер сообщений и затруднить анализ. Такой подход снизит точность атак, хотя и может увеличить нагрузку на серверы.
Помимо этого, пользователям рекомендуют избегать обсуждения конфиденциальных тем при подключении к общедоступным сетям, пользоваться VPN, чтобы скрыть своё местоположение и личные данные, и проверять, обновлены ли сервисы, с которыми они работают. Как подчёркивают эксперты, даже личные устройства не всегда способны гарантировать полную защиту от перехвата.
В то время как часть компаний уже внедрила защитные механизмы, другие продолжают рисковать безопасностью своих клиентов, игнорируя потенциально серьёзную брешь.
Whisper Leak стала тревожным сигналом для всей индустрии ИИ. Уязвимость не связана с конкретным продуктом — она заложена в фундаментальном способе работы языковых моделей. Даже при высоком уровне шифрования остаются метаданные, которые могут стать инструментом слежки.
Пока разработчики ищут пути решения, эксперты призывают компании пересмотреть архитектуру взаимодействия между пользователями и ИИ. В противном случае риск утечек останется даже после установки локальных патчей и обновлений.
Финальный вывод прост: цифровое доверие требует постоянной работы и ответственности не только со стороны технологий, но и их создателей. Whisper Leak стал напоминанием, что ни одна инновация не может быть полностью безопасной, если игнорировать архитектурные уязвимости и человеческий фактор.