Sicherheitsforscher haben eine neue Whisper-Leaks genannte Methode entdeckt, um einen Seitenkanalangriff auf die Kommunikation mit Sprachmodellen im Streaming-Modus durchzuführen. Durch geschicktes Ausnutzung von Netzwerkpaketgrößen und -timings könnten Informationen abgezogen werden.
Mit der KI-Welle werden immer häufiger große Sprachmodelle (LLMs), KI-gestützte Chatbots und AI-Agenten in Unternehmen und im Privatumfeld eingesetzt. Solche KI-Systeme werden zunehmend auch in sensiblen Bereichen eingesetzt, darunter im Gesundheitswesen, in der Rechtsberatung und in der persönlichen Kommunikation von Nutzern. Daher ist es von entscheidender Bedeutung, dass die zwischen Menschen und Sprachmodellen ausgetauschten Daten anonym und sicher bleiben. Sicherheitsforscher untersuchen KI-Lösungen daher auf mögliche Schwachstellen
Whisper-Leaks Seitenkanalangriff entdeckt
Sicherheitsforscher von Microsoft sind auf eine neue Angriffsmöglichkeit gestoßen, die die Kommunikation mit Sprachmodellen (LLMs) belauscht. Die Information über den Whisper-Leaks genannten Seitenkanalangriff ist mir die Woche über nachfolgenden Tweet bereits untergekommen. Ein Blog-Leser hat die Tage ebenfalls auf den Microsoft-Beitrag Whisper Leak: A novel side-channel attack on remote language models hingewiesen (danke dafür).
Die Kurzfassung des Artikels: Ein Angreifer, der in der Lage ist, den per TLS verschlüsselten Datenverkehr zwischen Nutzer bzw. AI-Agenten und einem Sprachmodell (LLM) zu beobachten, könnte eine Art von Seitenkanalangriff nutzen, um Rückschlüsse auf die Gesprächsthemen des Sprachmodells zu ziehen. Dies könnte die Privatsphäre der Nutzer und Unternehmen bei der Kommunikation mit Chatbots trotz End-to-End-Verschlüsselung über TLS gefährden.
Eine Auswertung der Microsoft-Analyse zeigt, dass bei vielen Sprachmodellen der Whisper-Leak-Seitenkanalangriff Trefferquoten von über 98 % erreichte. Das bedeutet, dass die einzigartigen digitalen "Fingerabdrücke", die Konversationen mit LLMs zu einem bestimmten Thema hinterlassen, so eindeutig sind, dass Microsofts KI-gestützter Lauschalgorithmus diese in einem kontrollierten Test zuverlässig herausfiltern konnte. Das heißt: Fast jedes "Gespräch" zwischen Nutzer und AI, das der Cyberangreifer als verdächtig markiert, würde tatsächlich das sensible Thema betreffen – ohne Fehlalarme. Diese Genauigkeit bedeutet, dass ein Cyberangreifer mit hoher Sicherheit agieren könnte, da er weiß, dass er keine Ressourcen für Fehlalarme verschwendet.
Microsoft veranschaulicht die Brisanz so: Überwacht eine Regierungsbehörde oder ein Internetdienstanbieter den Datenverkehr zu einem beliebten KI-Chatbot, könnten Nutzer zuverlässig identifiziert werden, die Fragen zu bestimmten sensiblen Themen stellen – sei es Geldwäsche, politische Dissidenz oder andere überwachte Themen –, obwohl der gesamte Datenverkehr verschlüsselt ist.
In den USA wurde im Oktober 2025 bekannt, dass Jonathan Rinderknecht wegen eines in Kalifornien gelegten Feuers, welches mehrere Todesopfer forderte, verhaftet wurde. Mit zur Verhaftung trugen Anfragen der Person an ChatGPT zu diesem Themenfeld bei.
Microsoft hat mit mehreren Cloud-Anbietern von Sprachmodellen zusammengearbeitet, um das Risiko zu mindern, und sichergestellt, dass die eigenen Sprachmodell-Frameworks vor dieser Art Angriffen geschützt sind, heißt es im Artikel.
Dieser Beitrag wurde unter AI, Sicherheit abgelegt und mit AI, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
