Een kritieke kwetsbaarheid in populaire AI-chatbots stelt hackers in staat berichten te onderscheppen ondanks versleuteling, wat aanleiding geeft tot ernstige zorgen over de privacy. Cybersecurity-onderzoekers bij Microsoft hebben een methode ontdekt, genaamd “Whisper Leak”, die metadata exploiteert om de inhoud van gesprekken tussen gebruikers en grote taalmodellen (LLM’s) af te leiden. Dit betekent dat gevoelige discussies kunnen worden gevolgd zonder de codering direct te verbreken.
Hoe de aanval werkt
De Whisper Leak-aanval is een geavanceerde ‘man-in-the-middle’-exploit. In plaats van de daadwerkelijke berichtinhoud te ontsleutelen, onderscheppen en analyseren hackers de metadata die verband houden met LLM-communicatie. Metadata omvatten details zoals pakketgrootte en timing, die, wanneer correct geanalyseerd, patronen kunnen onthullen die het onderwerp van het gesprek suggereren.
De sleutel is voorspelbaarheid. LLM’s genereren antwoorden op basis van aanwijzingen, wat resulteert in consistente tokenlengtes en responstimings. Door deze patronen te observeren, konden onderzoekers plausibele zinnen reconstrueren uit de gecodeerde gegevens zonder ooit de codering zelf te omzeilen. Deze techniek is een verfijnde versie van surveillancemethoden die door overheden worden gebruikt, zoals de Britse Investigatory Powers Act, die inhoud afleidt uit metadata zonder berichten rechtstreeks te lezen.
Reactie van de industrie: een allegaartje
Microsoft en OpenAI, de ontwikkelaar van ChatGPT, werden in juni 2025 op de hoogte gebracht van de kwetsbaarheid en hebben sindsdien stappen ondernomen om het risico in te schatten en oplossingen te implementeren. Echter, niet alle LLM-aanbieders hebben op dezelfde manier gereageerd. Sommigen weigerden patches toe te passen, terwijl anderen helemaal niet reageerden. De onderzoekers hebben opzettelijk de namen van niet-reagerende platforms achtergehouden om publieke schaamte te voorkomen, maar bevestigden dat de fout bij verschillende diensten nog steeds niet is verholpen.
“LLM’s zijn een goudmijn aan informatie”, zegt cybersecurity-analist Dave Lear. “Mensen stopten er alles in, inclusief medische gegevens toen ziekenhuizen ze gingen gebruiken. Het was onvermijdelijk dat iemand een manier zou vinden om die informatie te exfiltreren.”
Waarom dit belangrijk is
Het beveiligingslek benadrukt een fundamentele zwakte in de manier waarop LLM’s momenteel worden ingezet. Hoewel end-to-end-codering de inhoud van berichten beschermt, blijven metadata een potentieel lek. De implicaties zijn aanzienlijk, vooral omdat LLM’s steeds meer geïntegreerd raken in gevoelige gebieden zoals gezondheidszorg, financiën en juridische dienstverlening.
Overheden of kwaadwillende actoren zouden deze fout kunnen misbruiken om gebruikers te identificeren die specifieke onderwerpen bespreken, zoals het witwassen van geld of politieke afwijkende meningen, zelfs als de communicatie gecodeerd is. Dit ondermijnt het idee van privégesprekken met AI-assistenten.
Mitigatie en bescherming
LLM-aanbieders kunnen verschillende tegenmaatregelen implementeren:
- Random Padding: Het toevoegen van willekeurige bytes aan reacties om de pakketgrootte te vervormen en de analyse van metagegevens minder nauwkeurig te maken.
- Variabele responslengtes: Onvoorspelbaarheid introduceren in de lengte van gegenereerde reacties om patroonherkenning te verstoren.
- Verbeterde coderingsprotocollen: Onderzoek naar veiligere communicatiemethoden die het lekken van metagegevens minimaliseren.
Voor gebruikers is de directe aanbeveling voorzichtigheid. Vermijd het bespreken van gevoelige onderwerpen op niet-vertrouwde netwerken en controleer of uw LLM-provider oplossingen heeft geïmplementeerd. Het gebruik van een Virtual Private Network (VPN) kan een extra beschermingslaag bieden door uw identiteit en locatie te verdoezelen.
De Whisper Leak-fout onderstreept de voortdurende spanning tussen AI-innovatie en beveiliging. Hoewel LLM’s een ongelooflijk potentieel bieden, stellen hun kwetsbaarheden gebruikers bloot aan reële risico’s die onmiddellijke aandacht vereisen van zowel providers als individuen.
