{"id":24593,"date":"2025-12-29T09:30:24","date_gmt":"2025-12-29T12:30:24","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24593"},"modified":"2025-12-29T09:29:52","modified_gmt":"2025-12-29T12:29:52","slug":"chatbot-eavesdropping-whisper-leak-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/chatbot-eavesdropping-whisper-leak-protection\/24593\/","title":{"rendered":"Como espionar uma rede neural"},"content":{"rendered":"

As pessoas confiam \u00e0s redes neurais seus assuntos mais valiosos e at\u00e9 mesmo \u00edntimos: conferir diagn\u00f3sticos m\u00e9dicos, buscar conselhos amorosos ou consultar a IA em vez de um psicoterapeuta<\/a>. J\u00e1 s\u00e3o conhecidos os casos de planejamento de suic\u00eddio<\/a>, ataques no mundo real<\/a> e outros atos perigosos que foram facilitados por LLMs.\u00a0 Por essa raz\u00e3o, cada vez mais, conversas privadas entre humanos e IA t\u00eam despertado interesse crescente de governos, empresas e pessoas curiosas.<\/p>\n

Portanto, n\u00e3o faltar\u00e3o pessoas dispostas a implementar o ataque Whisper Leak por a\u00ed. Afinal, ele \u00e9 capaz de identificar o tema geral da conversa com uma rede neural sem interferir no tr\u00e1fego, apenas observando os padr\u00f5es de tempo no envio e recebimento de pacotes criptografados entre a rede e o servidor de IA. No entanto, ainda \u00e9 poss\u00edvel manter suas conversas privadas; saiba mais sobre isso abaixo\u2026<\/p>\n

Como funciona o ataque Whisper Leak<\/h2>\n

Todos os modelos de linguagem geram respostas progressivamente. Isso parece, aos olhos do usu\u00e1rio, que uma pessoa do outro lado est\u00e1 digitando palavra por palavra. No entanto, os modelos de linguagem n\u00e3o usam caracteres ou palavras isoladas, mas tokens que s\u00e3o unidades sem\u00e2nticas processadas pela IA, e a resposta surge conforme esses tokens s\u00e3o gerados. Esse sistema de sa\u00edda \u00e9 conhecido como \u201cstreaming\u201d e \u00e9 poss\u00edvel deduzir o t\u00f3pico da conversa medindo as caracter\u00edsticas do fluxo. Anteriormente, falamos sobre um esfor\u00e7o de pesquisa<\/a> que conseguiu reconstruir com bastante precis\u00e3o o texto de uma conversa com um bot a partir da an\u00e1lise do comprimento de cada token enviado.<\/p>\n

Pesquisadores da Microsoft analisaram em profundidade como 30 modelos de IA respondem<\/a> a 11.800 prompts. Foram feitas centenas de solicita\u00e7\u00f5es, como varia\u00e7\u00f5es da pergunta \u201c\u00c9 legal lavar dinheiro?\u201d, al\u00e9m de outras quest\u00f5es aleat\u00f3rias que cobriram t\u00f3picos totalmente diferentes.<\/p>\n

Ao comparar o atraso na resposta do servidor, o tamanho do pacote e o n\u00famero total de pacotes, os pesquisadores conseguiram separar as solicita\u00e7\u00f5es \u201cperigosas\u201d das \u201cnormais\u201d com bastante precis\u00e3o. Tamb\u00e9m usaram redes neurais para a an\u00e1lise, mesmo n\u00e3o sendo LLMs. Dependendo do modelo estudado, a precis\u00e3o na identifica\u00e7\u00e3o de t\u00f3picos \u201cperigosos\u201d variou entre 71% e 100%. Al\u00e9m disso, em 19 dos 30 modelos, a precis\u00e3o foi superior a 97%.<\/p>\n

Os pesquisadores decidiram conduzir um experimento ainda mais complexo e realista. Eles testaram um conjunto de dados de 10.000 conversas aleat\u00f3rias, sendo que apenas uma se concentrou no t\u00f3pico escolhido.<\/p>\n

Os resultados foram mais diversos, mas a simula\u00e7\u00e3o do ataque ainda obteve bastante sucesso. Nos modelos Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2, -3, Mistral-small e Mistral-large, os pesquisadores conseguiram detectar o sinal no ru\u00eddo em 50% dos experimentos com zero falso positivos.<\/p>\n

Para Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 e Deepseek-v3-chat, a taxa de sucesso da detec\u00e7\u00e3o caiu para 20%, mesmo n\u00e3o apresentando falsos positivos. Enquanto isso, para Gemini 2.5 pro, Anthropic-Claude-3-haiku e gpt-4o-mini, a detec\u00e7\u00e3o de conversas \u201cperigosas\u201d nos servidores da Microsoft s\u00f3 foi bem-sucedida em 5% dos casos. A taxa de sucesso para outros modelos testados foi ainda menor.<\/p>\n

\u00c9 importante notar que os resultados variam n\u00e3o s\u00f3 conforme o modelo de IA, mas tamb\u00e9m conforme a configura\u00e7\u00e3o do servidor em execu\u00e7\u00e3o. Portanto, o mesmo modelo OpenAI pode mostrar resultados diferentes na infraestrutura da Microsoft e nos pr\u00f3prios servidores OpenAI. E isso vale para todos os modelos de c\u00f3digo aberto.<\/p>\n

Efeitos pr\u00e1ticos: o que \u00e9 necess\u00e1rio para o Whisper Leak funcionar?<\/h2>\n

Se um invasor bem equipado acessar o tr\u00e1fego de rede das v\u00edtimas, como ao controlar um roteador em um ISP ou em uma organiza\u00e7\u00e3o, poder\u00e1 identificar grande parte das conversas sobre t\u00f3picos de interesse apenas medindo o tr\u00e1fego enviado aos servidores do assistente de IA, mantendo uma taxa de erro bem baixa. No entanto, isso n\u00e3o significa que seja poss\u00edvel detectar automaticamente qualquer t\u00f3pico de conversa\u00e7\u00e3o. Primeiro, o invasor deve treinar seus sistemas de detec\u00e7\u00e3o em temas espec\u00edficos, o modelo s\u00f3 os identificar\u00e1.<\/p>\n

Essa amea\u00e7a n\u00e3o pode ser descartada como algo apenas te\u00f3rico. As autoridades legais podem, por exemplo, monitorar consultas relacionadas \u00e0 fabrica\u00e7\u00e3o de armas ou drogas, e empresas podem monitorar pesquisas de emprego de seus funcion\u00e1rios. No entanto, n\u00e3o \u00e9 vi\u00e1vel usar essa tecnologia para o monitoramento em massa de centenas ou milhares de t\u00f3picos, pois ela consome muitos recursos.<\/p>\n

Alguns servi\u00e7os famosos de IA alteraram os algoritmos de seus servidores em resposta \u00e0 pesquisa, com intuito de dificultar a execu\u00e7\u00e3o desse ataque.<\/p>\n

Como se proteger do Whisper Leak<\/h2>\n

A responsabilidade pela defesa contra esse ataque \u00e9 majoritariamente dos fornecedores de modelos de IA. Eles precisam gerar textos de uma maneira que n\u00e3o seja poss\u00edvel distinguir seu t\u00f3pico dos padr\u00f5es de gera\u00e7\u00e3o de token. Ap\u00f3s a pesquisa da Microsoft, empresas como OpenAI, Mistral, Microsoft Azure e xAI relataram que estavam enfrentando a amea\u00e7a. Come\u00e7aram a incluir um leve preenchimento invis\u00edvel nos pacotes enviados pela rede neural, o que desestabiliza os algoritmos do Whisper Leak. Curiosamente, os modelos da Anthropic eram naturalmente menos suscet\u00edveis a esse ataque desde o in\u00edcio.<\/p>\n

Caso esteja usando um modelo e servidores vulner\u00e1veis ao Whisper Leak, \u00e9 poss\u00edvel selecionar um provedor menos vulner\u00e1vel ou adotar precau\u00e7\u00f5es adicionais. As medidas a seguir tamb\u00e9m s\u00e3o relevantes para quem deseja se proteger contra futuros ataques desse tipo:<\/p>\n