Az oldalsó csatornás támadás működése
Az úgynevezett oldalsó csatornás támadások nem közvetlenül a rendszer tartalmát törik fel, hanem olyan külső jeleket figyelnek, mint a hálózati csomagok mérete és küldési időzítése. Az új, Whisper Leak nevű támadási módszer arra épít, hogy a streamingalapú modellek – amelyek válaszokat apró darabokban, úgynevezett tokenekben küldenek vissza – árulkodó mintákat hagynak hátra a hálózati forgalomban.
Érdemes kiemelni, hogy nem szükséges hozzá a titkosítás feltörése: elég, ha valaki megfigyeli a forgalmat például az internetszolgáltató szintjén, a helyi hálózaton, vagy akár ugyanazon a Wi-Fi-hálózaton. Így egy országos megfigyelő szerv vagy egy elnyomó kormány is könnyen rájöhet arra, hogy valaki érzékeny témákról – például tiltott anyagokról, tüntetésekről, választásokról vagy újságírásról – kérdez az MI-től.
Mely szolgáltatók sérülékenyek?
A Microsoft és partnerei – mint például a Mistral, az OpenAI, az xAI és maga a Microsoft – már bevezettek védelmi intézkedéseket, hogy csökkentsék az ilyen támadások hatékonyságát. Ugyanakkor több jelentős MI-szolgáltató – köztük az Anthropic, az AWS, a DeepSeek, a Google, az Alibaba Qwen, a Lambda Labs és a Google Gemini – vagy még nem javított, vagy nem reagált a figyelmeztetésre. A Microsoft kutatói szerint eddig nem érkezett válasz több cég részéről, még ismételt megkeresések után sem.
Összefoglalásként megjegyezhető, hogy egyelőre nem találtak aktív kibertámadást, de ahogy a kutatók fogalmaznak, már az is elég lehet, ha valaki képes elmenteni a hálózati forgalmat: a támadás később, offline is végrehajtható.
Hogyan működik a támadás a gyakorlatban?
A Microsoft egy bizonyító erejű példát is készített pénzmosás témakörében. Különböző MI-modellekhez 100 eltérő, a pénzmosás törvényességére vonatkozó kérdést generáltak, majd ezeket az általános forgalomban rejtették el. Ezután egy tanuló algoritmus segítségével az érzékeny és az általános lekérdezések közötti különbséget igyekeztek felismerni a csomagméretek és az időzítések alapján.
Háromféle gépi tanulási modellt teszteltek: a LightGBM-et, egy gyors, döntési fákon alapuló modellt, egy kétirányú LSTM-alapú neurális hálót, valamint egy BERT-alapú, előre betanított transzformert, amelyet a csomagméretek és időszegmensek felismerésére is megtanítottak. Az eredmények megdöbbentőek: többek között az Alibaba, a DeepSeek, a Mistral, a Microsoft, az xAI és az OpenAI rendszereinél a felismerés pontossága 98 százalék felett volt.
Egy „realistább” szimuláció során, amikor 10 000 beszélgetésből csak egy volt érzékeny, sokszor sikerült kiszűrni az ilyen témájú üzeneteket hibamentesen, azaz a találatok mind valóban az adott témáról szóltak, miközben teljes titkosítás mellett már egy-két jelentős találattal is komoly információk szerezhetők. Ez pedig komoly veszélyt jelent bármely felhasználó számára, akit politikai, jogi vagy más okból célzottan figyelhetnek.
Hogyan védekezhetünk?
Többféle módszer is létezik a védekezésre. Az egyik leghatékonyabb megoldás, amelyet például a Microsoft és az OpenAI alkalmaz: minden válaszhoz véletlenszerű szövegrészeket (tokeneket) illesztenek, hogy azok mérete kiszámíthatatlan legyen, így a méreten alapuló támadásokat gyengítik. Más lehetőségek: több válasz egyben történő elküldése, ami összemossa a forgalmat, vagy szintetikus, látszólagos csomagok véletlen időpontban történő elküldése, ami szintén megzavarja a visszafejtést.
Érdemes kiemelni, hogy az AWS közlése szerint náluk a leírt támadási technikák nem alkalmazhatók, mivel a forgalomhoz való hozzáférés nehezített, a felhasználók védettek az ilyen típusú forgalomelemzés ellen.
