Ataque side-channel expõe chatbots criptografados

Pesquisadores da Microsoft descobriram um ataque side-channel, chamado Whisper Leak, capaz de revelar detalhes dos temas abordados em conversas com chatbots de IA, mesmo quando o tráfego está protegido por criptografia de ponta a ponta. A ameaça amplia os riscos de privacidade à medida que ferramentas de IA se integram a setores sensíveis como saúde e jurídico.

Ataque explora metadados de tráfego, não o conteúdo

O ataque não exige quebra da criptografia. Ao analisar tamanhos dos pacotes e intervalos entre eles, metadados associados aos tokens gerados por modelos como OpenAI e Microsoft, atacantes podem identificar tópicos sensíveis, como discussões políticas ou questões legais, apenas pelo padrão do tráfego.

Em experimentos, pesquisadores treinaram classificadores para distinguir prompts sobre temas como “legalidade de lavagem de dinheiro” entre mais de 11 mil perguntas comuns. Utilizando tcpdump e modelos LightGBM, Bi-LSTM e BERT, atingiram mais de 98% de precisão em algumas situações, conseguindo sinalizar conversas sensíveis com altíssima certeza.

Grupos e regimes podem explorar a técnica

A pesquisa chama atenção para o potencial de abuso por agentes estatais, ISPs ou espiões em redes Wi-Fi, especialmente em regiões sob regimes opressivos onde buscar informações já representa risco real para o usuário.

Mitigações e colaborações do setor

Após a divulgação, Microsoft trabalhou com parceiros como OpenAI, Mistral, xAI e sua própria Azure para implementar medidas corretivas. A OpenAI, por exemplo, adotou um campo de “obfuscation” que insere texto aleatório, mascarando o tamanho dos tokens transmitidos. A Mistral utilizou um parâmetro “p” para randomização semelhante, e a Azure seguiu as mudanças, as soluções reduziram a exposição virtualmente a zero em testes recentes.

Recomendações para os usuários de IA

• Evite discussões sensíveis em redes públicas.
• Use VPN, preferencialmente com modo não-streaming.
• Utilize fornecedores que já implementaram mitigação.

O código-fonte do ataque está disponível em repositório aberto no GitHub para estudos e conscientização. O caso reforça a urgência de políticas e soluções robustas para a privacidade envolvendo IA, visto que ataques side-channel tendem a evoluir junto com a popularização dessas tecnologias.