Если вы считали, что шифрование — это бронедверь, то новость такая: дверь уцелела, а замочная скважина шепчет. Да-да, «секреты в безопасности», но контекст — как кот, который всё равно выдал вас своим «мяу».
Исследователи Microsoft описали Whisper Leak — атаку по боковому каналу на потоковые ответы больших языковых моделей. Суть проста и изящна: наблюдая лишь размеры пакетов и паузы между ними в зашифрованном трафике, можно с высокой вероятностью угадать тему диалога. Не содержание, а именно «о чём это вообще» — деньги, протесты, выборы, журналистика. Для режимов, где тема — уже риск, этого более чем достаточно.
Почему это работает? Потоковая генерация токенов у ИИ — как барабанный бой: ритм и «громкость» (тайминги и размер чанков) зависят от того, что модель говорит. Наблюдатель в выгодной точке — на уровне провайдера, в локальной сети или вашем Wi‑Fi — умея записывать трафик, обучает классификатор и по паттернам отличает «норму» от целевой темы. В экспериментах по метрике AUPRC многие модели (включая сервисы Alibaba, DeepSeek, Mistral, Microsoft, xAI, OpenAI) давали почти идеальное разделение, а в симуляции слежки по 10 000 бесед ловились 5–50% целевых разговоров при 100% точности и нуле ложных срабатываний.
Хорошие новости: часть вендоров уже внедрила защиты. Microsoft, OpenAI, Mistral и xAI применили подходы à la Cloudflare — рандомизация токенов, чтобы сбить «подпись» размера. Помогают также объединение токенов в батчи и вставка «шумных» пакетов для запутывания таймингов. Плохие новости: по словам исследователей, некоторые крупные провайдеры (например, отдельные модели у Anthropic, Amazon/AWS, DeepSeek, Google, Alibaba) пока не спешат с митигациями или молчат.
Что делать пользователям? По возможности отключить стриминг в чувствительных сценариях, выбирать провайдеров с заявленными мерами защиты, минимизировать «утечку ритма» через прокси и VPN (они помогают против локальных подслушивателей, но не магия против наблюдателя на маршруте). И помнить: шифр прячет письмо, но почерком по-прежнему можно многое прочитать.