微软安全研究团队揭露了一种名为 “Whisper Leak” 的严重隐私漏洞。这是一种针对现代 AI 聊天服务的侧信道攻击，可能让恶意用户窥探到用户与 AI 之间的对话内容。

这一攻击的核心在于，它并不需要破解现有的 TLS 等加密协议，而是通过分析加密网络流量的元数据，诸如数据包的大小、传输时序以及序列模式，从而推断出用户与 AI 的对话主题。由于 AI 服务为了提供流畅的体验，通常采用逐个 token 流式传输应答的方式，这种做法在网络层留下了独特的 “指纹”，为攻击提供了可行性。

研究人员训练了机器学习模型，并通过收集大量 AI 应答的加密数据包轨迹，证明了这种攻击的有效性。不同主题的对话产生了系统性差异的元数据模式。例如，涉及 “洗钱” 等敏感话题的提问，其应答数据包的节奏和大小与普通日常对话有显著不同。在受控实验中，分类器对于识别特定敏感话题的准确率超过了98%，显示出其在现实世界中进行高精度监控的潜力。

该漏洞使得广泛的 AI 聊天服务面临系统性风险。攻击者，特别是互联网服务提供商（ISP）或公共 Wi-Fi 上的恶意行为者，可能利用 “Whisper Leak” 观察用户的网络流量，从而识别和标记敏感对话。这对记者、活动家以及需要法律或医疗建议的普通用户来说，构成了严重威胁。尽管对话内容本身是加密的，用户的对话 “主题” 却可能被泄露，从而引发后续审查或风险。

在微软遵循负责任披露原则后，多家主流 AI 供应商迅速采取了应对措施。当前的缓解方案主要包括：通过随机填充或内容混淆来打破数据包大小与内容长度的关联;采用 tokens 批处理以降低时间精度；以及主动注入虚拟数据包以干扰流量模式。这些措施虽然提高了安全性，但也带来了延迟增加和带宽消耗增大的问题，服务商不得不在用户体验和隐私保护之间做出权衡。

对于普通用户来说，处理高度敏感信息时，优先选择非流式应答模式，并避免在不受信任的网络中进行查询，是当前有效的防护手段。