Bir sinir ağında gizlice dinleme yapma

Whisper Leak saldırısı, saldırganın trafiği şifresini çözmeden yapay zeka asistanıyla yaptığınız konuşmanın konusunu tahmin etmesini sağlar. Bunun nasıl mümkün olduğunu ve yapay zeka sohbetlerinizi korumak için neler yapabileceğinizi inceliyoruz.

LLM sohbetlerini Whisper Leak saldırısından koruma

İnsanlar, en önemli, hatta en mahrem konularını sinir ağlarına emanet ediyorlar; tıbbi teşhisleri doğrulamak, aşk tavsiyesi almak veya psikoterapist yerine yapay zekaya başvurmak gibi. LLM’ler tarafından kolaylaştırılan intihar planlama, gerçek dünyadaki saldırılar ve diğer tehlikeli eylemlere ilişkin zaten bilinen vakalar var.  Sonuç olarak, insanlar ile yapay zeka arasındaki özel sohbetler, hükümetlerin, şirketlerin ve meraklı bireylerin ilgisini giderek daha fazla çekiyor.

Dolayısıyla, Whisper Leak saldırısını gerçek hayatta uygulamak isteyenlerin sayısı az değil. Sonuçta, trafiğe herhangi bir şekilde müdahale etmeden, sadece ağ üzerinden yapay zeka sunucusuna şifrelenmiş veri paketlerinin gönderilme ve alma zamanlama modellerini analiz etmek, sinir ağı ile gerçekleştirilen bir konuşmanın genel konusunu belirlemeye olanak tanır. Ancak, sohbetlerinizi yine de gizli tutabilirsiniz. Daha fazla bilgi almak için okumaya devam edin.

Whisper Leak saldırısı nasıl işler?

Tüm dil modelleri, çıktılarını aşamalı olarak üretir. Bu, kullanıcıya sanki karşı tarafta bir kişi kelime kelime yazıyormuş gibi görünür. Ancak gerçekte, dil modelleri tek tek karakterler veya kelimelerle değil, LLM’ler için bir tür anlamsal birim olan belirteçlerle çalışır ve bu belirteçler üretildikçe yapay zeka yanıtı ekranda görünür. Bu çıktı modu “akış” olarak bilinir ve akışın özelliklerini ölçerek konuşmanın konusunu tahmin edebilirsiniz. Daha önce, bir botun gönderdiği her bir belirtecin uzunluğunu analiz ederek botla yapılan sohbet metnini oldukça doğru bir şekilde yeniden oluşturmayı başaran bir araştırmayı ele almıştık.

Microsoft araştırmacıları, 30 farklı yapay zeka modelinin 11.800 komuta verdiği yanıt özelliklerini analiz ederek bu çalışmayı daha da ileriye götürdüler. “Para aklama yasal mı?” sorusunun çeşitli varyasyonları da dahil olmak üzere rastgele ve tamamen farklı konuları kapsayan yüz adet soru kullanıldı.

Sunucu yanıt gecikmesi, paket boyutu ve toplam paket sayısını karşılaştırarak, araştırmacılar “tehlikeli” sorguları “normal” sorgulardan çok doğru bir şekilde ayırt edebildiler. Analiz için sinir ağlarını da kullandılar, ancak LLM’leri kullanmadılar. İncelenen modele bağlı olarak, “tehlikeli” konuları belirleme doğruluğu %71 ile %100 arasında değişirken, 30 modelden 19’unda doğruluk %97’yi aştı.

Araştırmacılar daha sonra daha karmaşık ve gerçekçi bir deney yaptılar. 10.000 rastgele konuşmadan oluşan bir veri setini test ettiler ve bunlardan sadece biri seçilen konuya odaklanmıştı.

Sonuçlar daha çeşitliydi, ancak simüle edilen saldırı yine de oldukça başarılı oldu. Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 ve -3, Mistral-small ve Mistral-large gibi modellerde, araştırmacılar deneylerinin %50’sinde hatalı pozitif sonuç almadan gürültüdeki sinyali tespit edebildiler.

Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 ve Deepseek-v3-chat için algılama başarı oranı %20’ye düştü, ancak yine de hatalı pozitif sonuçlar görülmedi. Öte yandan, Gemini 2.5 pro, Anthropic-Claude-3-haiku ve gpt-4o-mini için Microsoft sunucularında “tehlikeli” sohbetlerin tespiti yalnızca %5 oranında başarılı oldu. Öte yandan, Gemini 2.5 pro, Anthropic-Claude-3-haiku ve gpt-4o-mini için Microsoft sunucularında “tehlikeli” sohbetlerin tespiti yalnızca %5 oranında başarılı oldu. Test edilen diğer modeller için başarı oranı daha da düşüktü.

Dikkate alınması gereken önemli bir nokta ise, sonuçların yalnızca belirli bir yapay zeka modeline değil, aynı zamanda modelin çalıştığı sunucu yapılandırmasına da bağlı olduğudur. Bu nedenle, aynı OpenAI modeli Microsoft’un altyapısında OpenAI’ın kendi sunucularına kıyasla farklı sonuçlar gösterebilir. Aynı durum tüm açık kaynaklı modeller için de geçerlidir.

Pratik uygulamalar: Whisper Leak saldırısının çalışması için ne gerekir?

Geniş kaynaklara sahip bir saldırgan, kurbanlarının ağ trafiğine erişimi varsa (örneğin, bir ISP’deki veya bir kuruluş içindeki bir yönlendiriciyi kontrol ederek), yapay zeka asistan sunucularına gönderilen trafiği ölçerek, çok düşük bir hata oranını korurken, ilgilendiği konulardaki konuşmaların önemli bir yüzdesini tespit edebilir. Ancak bu, olası herhangi bir konuşma konusunun otomatik olarak algılanması anlamına gelmez. Saldırgan önce algılama sistemlerini belirli temalar üzerinde eğitmelidir, model bunlar için yalnızca tamamlayıcı bir unsur olacaktır.

Bu tehdit, sadece teorik olarak değerlendirilemez. Örneğin, emniyet güçleri silah veya uyuşturucu üretimi ile ilgili aramaları izleyebilirken, şirketler çalışanlarının iş arama sorgularını takip edebilirler. Ancak, bu teknolojiyi yüzlerce veya binlerce konuyu kapsayan kitlesel gözetim yapmak için kullanmak mümkün değildir; bu, çok fazla kaynak gerektirir.

Araştırmaya yanıt olarak, bazı popüler yapay zeka hizmetleri, bu saldırının gerçekleştirilmesini zorlaştırmak için sunucu algoritmalarını değiştirdi.

Kendinizi Whisper Leak saldırılarına karşı nasıl koruyabilirsiniz?

Bu saldırıya karşı korunmada birincil sorumluluk yapay zeka modellerinin sağlayıcılarına aittir. Oluşturulan metni, konunun belirteç oluşturma modellerinden ayırt edilmesini önleyecek şekilde sunmaları gerekir. Microsoft’un araştırmasının ardından OpenAI, Mistral, Microsoft Azure ve xAI gibi şirketler bu tehdidi çözmeye çalıştıklarını bildirdiler. Artık sinir ağı tarafından gönderilen paketlere küçük bir miktar görünmez dolgu ekliyorlar ve bu da Whisper Leak algoritmalarını bozuyor. Özellikle, Anthropic’in modelleri bu saldırıya karşı en başından beri daha az hassastı.

Whisper Leak’in endişe kaynağı olmaya devam ettiği bir model ve sunucu kullanıyorsanız, daha az savunmasız bir sağlayıcıya geçebilir ya da ek önlemler alabilirsiniz. Bu önlemler, gelecekte bu tür saldırılara karşı korunmak isteyen herkes için de geçerlidir:

  • Son derece hassas konular için yerel yapay zeka modelleri kullanın. Bunun için kılavuzumuza danışabilirsiniz.
  • Modeli mümkün olan yerlerde akışsız çıktı kullanacak şekilde yapılandırın, böylece yanıtın tamamı kelime kelime olarak değil, bir kerede iletilir.
  • Güvenilir olmayan ağlara bağlıyken sohbet robotlarıyla hassas konuları tartışmaktan kaçının.
  • Daha fazla bağlantı güvenliği için sağlam ve güvenilir bir VPN sağlayıcısı kullanın.
  • Herhangi bir sohbet bilgisi için en olası sızıntı noktasının kendi bilgisayarınız olduğunu unutmayın. Bu nedenle, hem bilgisayarınızda hem de tüm akıllı telefonlarınızda çalışan güvenilir bir güvenlik çözümü ile casus yazılımlardan korunmanız çok önemlidir.

Yapay zeka kullanımıyla ilişkili diğer risklerin neler olduğunu ve yapay zeka araçlarının nasıl doğru şekilde yapılandırılacağını açıklayan bazı makaleleri burada bulabilirsiniz:

İpuçları
  • Diğer tüm ülkeler için