روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مردم حساس‌ترین و حتی خصوصی‌ترین مسائل زندگی خود را به شبکه‌های عصبی می‌سپارند؛ از تأیید تشخیص‌های پزشکی گرفته تا گرفتن مشاوره‌ی عاطفی یا حتی مراجعه به هوش مصنوعی به‌جای روان‌درمانگر. تاکنون موارد شناخته‌شده‌ای از برنامه‌ریزی برای خودکشی، حمله‌های واقعی در دنیای بیرون و دیگر رفتارهای خطرناک وجود داشته که با کمک مدل‌های زبانی بزرگ انجام شده‌اند. به همین دلیل، گفت‌وگوهای خصوصی بین انسان و هوش مصنوعی بیش از پیش توجه دولت‌ها، شرکت‌ها و افراد کنجکاو را به خود جلب کرده است. در نتیجه، کمبودی در افرادی که بخواهند حملهWhisper Leak را در دنیای واقعی اجرا کنند، وجود نخواهد داشت. این حمله امکان می‌دهد بدون هیچ‌گونه دخالت در ترافیک، موضوع کلی یک گفت‌وگو با شبکه عصبی مشخص شود؛ تنها با تحلیل الگوهای زمانیِ ارسال و دریافت بسته‌های داده رمزگذاری‌شده بین کاربر و سرور هوش مصنوعی. با این حال، هنوز راه‌هایی برای خصوصی نگه‌داشتن گفت‌وگوهای شما وجود دارد که قرار است در ادامه به این موارد بپردازیم.

ساز و کار حمله‌ی Whisper Leak

تمام مدل‌های زبانی خروجی خود را به‌صورت مرحله‌به‌مرحله تولید می‌کنند. برای کاربر، این‌طور به نظر می‌رسد که انگار یک نفر در سمت دیگر دارد کلمه به کلمه تایپ می‌کند. اما در واقع مدل‌های زبانی نه با کاراکترها یا کلمات به صورت جداگانه بلکه با توکن‌ها – واحدهای معنایی برای مدل‌های زبانی بزرگ – کار می‌کنند و پاسخ هوش مصنوعی هنگام تولید این توکن‌ها روی صفحه ظاهر می‌شود. این حالت خروجی را یااستریمینگ[1] می‌نامند و پژوهش‌ها نشان داده‌ می‌توان با اندازه‌گیری ویژگی‌های این جریان، موضوع مکالمه را حدس زد. پیش‌تر در تحقیقی معلوم شده بود با تحلیل طول هر توکن ارسال‌شده، می‌توان متن یک چت با بات را تا حد زیادی بازسازی کرد.

 محققین مایکروسافت حتی فراتر رفته و پاسخ‌های ۳۰ مدل هوش مصنوعی مختلف را به ۱۱,۸۰۰ درخواست بررسی کردند. از این تعداد، ۱۰۰ درخواست حول پرسشی مانند «آیا پول‌شویی قانونی است؟» بودند و بقیه موضوعات کاملاً تصادفی و متفاوت را پوشش می‌دادند. با مقایسه تاخیر پاسخ سرور، اندازه بسته‌ها و تعداد کل بسته‌ها، محققین توانستند با دقت بالا، پرسش‌های «خطرناک» را از پرسش‌های «عادی» جدا کنند. آن‌ها برای تحلیل از شبکه‌های عصبی استفاده کردند، اما نه LLMها. بسته به مدل، دقت شناسایی موضوعات خطرناک بین ۷۱٪ تا ۱۰۰٪ بود و برای ۱۹ مدل از ۳۰ مدل دقت بیش از ۹۷٪ رسید. سپس آزمایشی پیچیده‌تر و واقعی‌تر انجام شد. آن‌ها مجموعه‌ای از ۱۰,۰۰۰ مکالمه تصادفی را بررسی کردند که فقط یکی از آن‌ها مربوط به موضوع موردنظر بود. نتایج متغیر بودند، اما حمله شبیه‌سازی‌شده هنوز موفقیت بالایی داشت. نکته مهم این است که نتایج نه‌ فقط به مدل هوش مصنوعی که به پیکربندی سروری که مدل روی آن اجرا می‌شود نیز مربوط است. بنابراین، یک مدل یکسان از OpenAI ممکن است روی زیرساخت مایکروسافت رفتاری متفاوت با اجرای آن روی سرورهای خود OpenAI داشته باشد. این موضوع روی همه مدل‌های متن‌باز نیز صادق است.

پیامدهای عملی: چه چیزهایی لازم است تا Whisper Leak کار کند؟

اگر مهاجم منابع کافی داشته باشد و به ترافیک شبکه قربانیان دسترسی پیدا کند — مثلاً از طریق کنترل یک روتر در یک ISP یا سازمان — می‌تواند درصد قابل توجهی از مکالمات در موضوعات موردنظر را فقط با اندازه‌گیری ترافیک ارسالی به سرورهای دستیار هوش مصنوعی شناسایی کرده و در عین حال خطای کمی داشته باشد. با این حال، این به معنای شناسایی خودکار همه موضوعات مکالمه نیست. مهاجم ابتدا باید سیستم شناسایی خود را روی موضوعات خاص آموزش دهد چون مدل فقط همان موضوعات را شناسایی می‌کند. این تهدید صرفاً در حد تئوری نیست. برای مثال، نیروهای انتظامی می‌توانند جست‌وجوهای مربوط به اسلحه یا تولید مواد مخدر را زیر نظر بگیرند و شرکت‌ها ممکن است جست‌وجوهای کارمندان درباره شغل جدید را دنبال کنند. اما استفاده از این فناوری برای نظارت گسترده روی صدها یا هزاران موضوع عملی نیست، چون منابع زیادی نیاز دارد. در واکنش به این تحقیق، برخی از سرویس‌های محبوب هوش مصنوعی الگوریتم‌های سرور خود را تغییر دادند تا اجرای این حمله دشوارتر شود.

راهکارهای امنیتی

مسئولیت اصلی دفاع در برابر این حمله بر عهده ارائه‌دهندگان مدل‌های هوش مصنوعی است. آن‌ها باید متن تولیدشده را به گونه‌ای ارائه کنند که موضوع مکالمه از روی الگوهای تولید توکن قابل تشخیص نباشد. پس از تحقیقات مایکروسافت، شرکت‌هایی مانند  OpenAI، Mistral، Microsoft Azure  و xAI اعلام کردند که در حال مقابله با این تهدید هستند. آن‌ها اکنون مقدار کمی «پد نامرئی» به بسته‌های ارسالی اضافه می‌کنند تا الگوریتم‌های Whisper Leak مختل شوند. جالب اینکه مدل‌های Anthropic از ابتدا نسبت به این حمله آسیب‌پذیری کمتری داشتند. اگر از مدلی استفاده می‌کنید که هنوز احتمال حمله Whisper Leak در آن وجود دارد، می‌توانید یا به ارائه‌دهنده کم‌خطرتر مهاجرت کنید یا اقدامات پیشگیرانه بیشتری انجام دهید. این اقدامات برای کسانی که می‌خواهند در برابر حملات مشابه آینده محافظت شوند نیز مفید است. پس توصیه می‌کنیم که:

•         برای موضوعات بسیار حساس، از مدل‌های هوش مصنوعی محلی استفاده کنید. می‌توانید از راهنمای ما پیروی کنید.
•         مدل را طوری تنظیم کنید که خروجی جریان‌دهی نشود و کل پاسخ یک‌جا ارائه شود، نه کلمه به کلمه.
•         از صحبت درباره موضوعات حساس با چت‌بات‌ها هنگام اتصال به شبکه‌های نامطمئن خودداری کنید.
•         از سرویس VPN قوی و معتبر برای امنیت بیشتر اتصال استفاده کنید.

* به یاد داشته باشید که احتمال نشت اطلاعات چت بیشتر از همه از کامپیوتر یا دستگاه‌های خود شما است. بنابراین محافظت از آن‌ها با یک راهکار امنیتی مطمئن روی کامپیوتر و تمام گوشی‌ها ضروری است.

[1] Streaming

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.