對某些人來說，人工智慧助理就像我們的好朋友，我們可以向他們提出任何敏感或尷尬的問題。畢竟，我們與它們的通訊是加密的，這看起來很安全。然而，以色列的研究人員發現了駭客規避這種保護的方法。

和其他優秀的助手一樣，人工智慧對你瞭如指掌。它知道你住在哪裡，在哪裡工作。它可能知道你喜歡吃什麼食物，這個週末打算做什麼。如果你特別健談，它甚至可能知道你是否在考慮離婚或考慮破產。

這就是為什麼研究人員設計的一種可以透過網路讀取人工智慧助理加密回應的攻擊令人震驚。這些研究人員來自以色列的進攻型人工智慧研究實驗室（Offensive AI Research Lab），他們發現，除了Google Gemini之外，大多數使用串流媒體與大型語言模型互動的主要人工智慧助理都存在一個可利用的側頻道。然後，他們示範如何利用OpenAI 的ChatGPT-4 和微軟的Copilot 的加密網路流量。

研究人員在論文中寫道：”我們能夠準確地重建29% 的人工智慧助手的回答，並成功地從55% 的回答中推斷出主題。”

最初的攻擊點是標記長度側頻道。研究人員解釋說，在自然語言處理中，標記是包含意義的最小文本單位。例如，”我的皮疹很癢”這句話可以標記化如下：S = (k1, k2, k3, k4, k5)，其中標記為k1 = I, k2 = have, k3 = an, k4 = itchy, k5 = rash。

然而，令牌是大型語言模型服務處理資料傳輸的重要漏洞。也就是說，當LLM 以一系列令牌的形式產生和發送回應時，每個令牌都會在產生的同時從伺服器發送給使用者。雖然這個過程是加密的，但資料包的大小會洩漏令牌的長度，從而有可能讓網路上的攻擊者讀取對話內容。

研究人員說，從標記長度序列推斷回复內容具有挑戰性，因為回复可能長達數句，從而產生數百萬個語法正確的句子。為了解決這個問題，他們：（1）使用大型語言模型來翻譯這些序列；（2）為LLM 提供句子間上下文，以縮小搜尋空間；（3）根據目標模型的寫作風格對模型進行微調，從而進行已知純文字攻擊。

他們寫道：”據我們所知，這是第一項使用生成式人工智慧進行側通道攻擊的工作。”

研究人員已經就他們的工作聯繫了至少一家安全廠商Cloudflare。自從接到通知後，Cloudflare 表示它已經實施了一項緩解措施，以保護自己名為Workers AI 的推理產品的安全，並將其添加到AI Gateway 中，以保護客戶的LLM，無論它們在哪裡運行。

在論文中，研究人員還提出了一項緩解建議：在每個資訊中加入隨機填充，以隱藏資訊流中標記的實際長度，從而使僅根據網路資料包大小來推斷資訊的嘗試變得更加複雜。