{"id":30365,"date":"2025-12-16T15:22:34","date_gmt":"2025-12-16T13:22:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30365"},"modified":"2025-12-16T15:22:34","modified_gmt":"2025-12-16T13:22:34","slug":"chatbot-eavesdropping-whisper-leak-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/chatbot-eavesdropping-whisper-leak-protection\/30365\/","title":{"rendered":"Come intercettare una rete neurale"},"content":{"rendered":"

Le persone affidano alle reti neurali le loro questioni pi\u00f9 importanti, persino intime: verificare diagnosi mediche, chiedere consigli per problemi di cuore o rivolgersi all\u2019AI anzich\u00e9 a uno psicoterapeuta<\/a>. Sono gi\u00e0 noti casi di pianificazione suicidaria<\/a>, attacchi nel mondo reale<\/a> e altri atti pericolosi facilitati dagli LLM.\u00a0 Di conseguenza, le chat private tra esseri umani e AI stanno attirando una crescente attenzione da parte di governi, aziende e individui curiosi.<\/p>\n

Quindi, non mancheranno le persone disposte a implementare l\u2019attacco Whisper Leak in natura. Dopotutto, consente di determinare l\u2019argomento generale di una conversazione con una rete neurale senza interferire in alcun modo con il traffico, semplicemente analizzando i modelli di temporizzazione di invio e ricezione di pacchetti di criptaggio dei dati tramite la rete al server di intelligenza artificiale. Tuttavia, \u00e8 comunque possibile mantenere private le chat; altre informazioni di seguito\u2026<\/p>\n

Come funziona l\u2019attacco Whisper Leak<\/h2>\n

Tutti i modelli linguistici generano il proprio output progressivamente. All\u2019utente, sembra come se una persona all\u2019altro capo stia digitando parola per parola. In realt\u00e0, tuttavia, i modelli linguistici funzionano non con singoli caratteri o parole, ma con token, una sorta di unit\u00e0 semantica per gli LLM e la reazione dell\u2019AI appare sullo schermo man mano che questi token vengono generati. Questa modalit\u00e0 di output \u00e8 nota come \u201cstreaming\u201d e risulta che \u00e8 possibile dedurre l\u2019argomento della conversazione misurando le caratteristiche dello stream. In precedenza abbiamo coperto uno sforzo di ricerca<\/a> che \u00e8 riuscito a ricostruire in modo abbastanza accurato il testo di una chat con un bot analizzando la lunghezza di ciascun token inviato.<\/p>\n

I ricercatori di Microsoft sono andati oltre analizzando le caratteristiche di risposta<\/a> da 30 diversi modelli di AI a 11.800 prompt. Sono stati utilizzati un centinaio di suggerimenti: variazioni sulla domanda \u201cIl riciclaggio di denaro \u00e8 legale?\u201d, mentre gli altri erano casuali e riguardavano argomenti completamente diversi.<\/p>\n

Confrontando il ritardo di risposta del server, la dimensione dei pacchetti e il conteggio totale dei pacchetti, i ricercatori sono stati in grado di separare in modo molto accurato le query \u201cpericolose\u201d da quelle \u201cnormali\u201d. Hanno anche utilizzato le reti neurali per l\u2019analisi, sebbene non LLM. A seconda del modello studiato, la precisione nell\u2019identificazione degli argomenti \u201cpericolosi\u201d variava dal 71% al 100%, con un\u2019accuratezza superiore al 97% per 19 modelli su 30.<\/p>\n

I ricercatori hanno quindi condotto un esperimento pi\u00f9 complesso e realistico. Hanno testato un set di dati di 10.000 conversazioni casuali, delle quali solo una era incentrata sull\u2019argomento prescelto.<\/p>\n

I risultati furono pi\u00f9 vari, ma l\u2019attacco simulato si rivel\u00f2 comunque un discreto successo. Per modelli come Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 e -3, nonch\u00e9 Mistral-small e Mistral-large, i ricercatori sono stati in grado di rilevare il segnale nel rumore nel 50% dei loro esperimenti con zero falsi positivi.<\/p>\n

Per Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 e Deepseek-v3-chat, la percentuale di successo del rilevamento \u00e8 scesa al 20%, sebbene ancora senza falsi positivi. Nel frattempo, per Gemini 2.5 pro, Anthropic-Claude-3-haiku e gpt-4o-mini, il rilevamento di chat \u201cpericolose\u201d nei server Microsoft ha avuto esito positivo solo nel 5% dei casi. La percentuale di successo per altri modelli testati \u00e8 stata ancora pi\u00f9 bassa.<\/p>\n

Un punto chiave da considerare \u00e8 che i risultati dipendono non solo dal modello di AI specifico, ma anche dalla configurazione del server in cui \u00e8 in esecuzione. Pertanto, lo stesso modello OpenAI potrebbe mostrare risultati diversi nell\u2019infrastruttura di Microsoft rispetto ai server di OpenAI. Lo stesso vale per tutti i modelli open source.<\/p>\n

Implicazioni pratiche: cosa serve per far funzionare Whisper Leak?<\/h2>\n

Se un utente malintenzionato dotato di risorse adeguate ha accesso al traffico di rete delle proprie vittime, ad esempio controllando un router presso un ISP o all\u2019interno di un\u2019organizzazione, pu\u00f2 rilevare una percentuale significativa di conversazioni su argomenti di interesse semplicemente misurando il traffico inviato ai server dell\u2019assistente AI, il tutto mantenendo un tasso di errori molto basso. Tuttavia, ci\u00f2 non equivale al rilevamento automatico di alcun possibile argomento di conversazione. L\u2019utente malintenzionato deve prima addestrare i propri sistemi di rilevamento su temi specifici: il modello identificher\u00e0 solo quelli.<\/p>\n

Questa minaccia non pu\u00f2 essere liquidata come puramente teorica. Le forze dell\u2019ordine potrebbero, ad esempio, monitorare le query relative alla produzione di armi o farmaci, mentre le aziende potrebbero tenere traccia delle query di ricerca di lavoro dei dipendenti. Tuttavia, l\u2019utilizzo di questa tecnologia per condurre una sorveglianza di massa su centinaia o migliaia di argomenti non \u00e8 fattibile: \u00e8 semplicemente troppo dispendioso in termini di risorse.<\/p>\n

In risposta alla ricerca, alcuni famosi servizi di AI hanno modificato gli algoritmi del server per rendere pi\u00f9 difficile l\u2019esecuzione di questo attacco.<\/p>\n

Come proteggersi dall\u2019attacco Whisper Leak<\/h2>\n

La responsabilit\u00e0 primaria della difesa da questo attacco spetta ai fornitori di modelli di AI. Devono distribuire il testo generato in un modo che impedisca di distinguere l\u2019argomento dai modelli di generazione dei token. In seguito alla ricerca di Microsoft, aziende tra cui OpenAI, Mistral, Microsoft Azure e xAI hanno riferito che stavano affrontando la minaccia. Adesso aggiungono una piccola quantit\u00e0 di riempimento invisibile ai pacchetti inviati dalla rete neurale, il che interrompe gli algoritmi di Whisper Leak. In particolare, i modelli di Anthropic erano intrinsecamente meno suscettibili a questo attacco sin dall\u2019inizio.<\/p>\n

Se si utilizza un modello e i server per i quali Whisper Leak rimane un problema, \u00e8 possibile passare a un provider meno vulnerabile o adottare ulteriori precauzioni. Queste misure sono rilevanti anche per chiunque intenda proteggersi da futuri attacchi di questo tipo:<\/p>\n