Microsoft ha anunciado un nuevo ataque de canal lateral dirigido a modelos de lenguaje remotos. Este método permite a un atacante pasivo, que puede observar el tráfico de red cifrado, utilizar inteligencia artificial para inferir el tema de la conversación de un usuario, incluso cuando se usa HTTPS.
La compañía explicó que la filtración de datos afecta a las interacciones con modelos de LLM en tiempo real, que envían respuestas multipartes a medida que se generan. Este formato es útil para los usuarios, ya que no necesitan esperar a que el modelo complete respuestas prolongadas.
Sin embargo, este método también permite reconstruir el contexto de la conversación. Microsoft enfatiza que esto supone un riesgo para la privacidad de usuarios tanto individuales como corporativos.
Los investigadores Jonathan Bar Or y Jeff McDonald, del equipo de seguridad de Microsoft Defender, indicaron que el ataque es posible cuando un adversario tiene acceso al tráfico. Este adversario podría ser un proveedor de servicios de Internet (ISP), una persona en la misma red local o alguien conectado a la misma red Wi-Fi.
Aunque el atacante no podrá leer el contenido del mensaje devido a la cifrado TLS, sí podrá observar el tamaño de los paquetes y los intervalos entre ellos. Esta información es suficiente para que un modelo entrenado pueda determinar si una solicitud se relaciona con uno de los temas predefinidos.
En esencia, el ataque se basa en la secuencia de tamaños de paquetes cifrados y los tiempos de llegada que ocurren durante las respuestas de un modelo de lenguaje en tiempo real. Microsoft ha verificado esta hipótesis. Los investigadores desarrollaron un clasificador binario que distingue entre consultas sobre temas específicos y el resto del ruido.
Como prueba de concepto, utilizaron tres enfoques de aprendizaje automático: LightGBM, Bi-LSTM y BERT. Encontraron que, para varios modelos de Mistral, xAI, DeepSeek y OpenAI, la precisión sobrepasaba el 98%. Esto significa que un atacante que simplemente observe el tráfico hacia chatbots populares puede acceder con alta fiabilidad a conversaciones sobre temas sensibles.
Microsoft destacó que, en situaciones de monitoreo masivo de tráfico, como el que realiza un ISP o una entidad gubernamental, este método podría utilizarse para identificar a usuarios que plantean preguntas sobre blanqueo de dinero, disidencia política u otros temas restringidos, incluso si todo el intercambio está cifrado.
Los autores del estudio resaltaron un aspecto preocupante: cuanto más tiempo recopile el atacante muestras de entrenamiento y ejemplos de diálogo, más precisa será la clasificación. Esto transforma WhisperLeak de un ataque teórico a uno práctico. Después de una divulgación responsable, OpenAI, Mistral, Microsoft y xAI han implementado medidas de protección.
Una técnica eficaz para mejorar la seguridad consiste en agregar una secuencia aleatoria de texto de longitud variable a la respuesta. Esto oculta la relación entre la longitud del token y el tamaño del paquete, reduciendo así la información que puede extraerse del canal lateral.
Microsoft también aconseja a los usuarios preocupados por la privacidad que eviten discutir temas delicados en redes no seguras, utilicen una VPN siempre que sea posible, opten por métodos de gestión de aprendizaje que no sean de transmisión en vivo y colaboren con proveedores que ya hayan implementado medidas de mitigación.
En este contexto, Cisco publicó una evaluación de seguridad independiente de ocho modelos LLM de código abierto de Alibaba, DeepSeek, Google, Meta, Microsoft, Mistral, OpenAI y Zhipu AI. Los investigadores demostraron que estos modelos tienen un rendimiento deficiente en escenarios con múltiples rondas de diálogo y son más fáciles de engañar en sesiones más largas. También encontraron que los modelos que priorizaban la eficiencia por encima de la seguridad eran más vulnerables a ataques de múltiples etapas.
Esto respalda la conclusión de Microsoft de que las organizaciones que adoptan modelos de código abierto y los integran en sus operaciones deben añadir sus propias defensas, llevar a cabo actividades regulares de equipo rojo y aplicar estrictamente las advertencias del sistema.
En resumen, estos estudios demuestran que la seguridad de los modelos de aprendizaje automático (LLM) sigue siendo un problema sin resolver. El cifrado del tráfico protege el contenido, pero no siempre oculta el comportamiento del modelo. Por lo tanto, los desarrolladores y usuarios de sistemas de IA deben tener en cuenta estos canales secundarios, especialmente cuando trabajan con temas sensibles y en redes donde el tráfico puede ser observado por terceros.
Fuente:
RedHotCyber
Con Información de blog.segu-info.com.ar