Das Flüstern der neuronalen Netze

Hast du schon von Whisper Leak gehört? Während du mit einem KI-Assistenten chattest, kann ein Angreifer das Gesprächsthema erraten, trotz Verschlüsselung. Wir untersuchen, wie das überhaupt möglich ist, und wie du deine KI-Chats schützen kannst.

LLM-Chats vor dem Whisper-Leak-Lauschangriff schützen

Menschen vertrauen neuronalen Netzen alle möglichen wichtige und sogar intime Dinge an: Sie lassen medizinische Diagnosen überprüfen, holen sich Rat in Herzensangelegenheiten oder wenden sich mit Problemen an die KI statt an einen Psychotherapeuten. Es gab bereits Fälle von geplanten Suiziden, physischen Angriffen und anderen gefährlichen Taten, die durch LLMs ermöglicht wurden. Auch aus diesem Grund geraten vertrauliche Chats zwischen Menschen und KI zunehmend ins Blickfeld von Behörden, Unternehmen und neugierigen Zeitgenossen.

Und es gibt sicher genügend Interessierte, die den Whisper-Leak-Angriff für ihre Zwecke ausprobieren wollen. Mit diesem Angriff lässt sich das generelle Thema von KI-Chats ermitteln, ohne dass dadurch der Datenverkehr in irgendeiner Weise beeinträchtigt würde. Es werden einfach die Zeitmuster analysiert, die sich ergeben, wenn verschlüsselte Datenpakete über das Netzwerk an den KI-Server gesendet und von dort empfangen werden. Aber keine Angst! Deine Chats können auch weiterhin privat bleiben. Mehr dazu weiter unten.

Funktionsweise des Whisper-Leak-Angriffs

Alle Sprachmodelle geben die Ergebnisse schrittweise aus. Für den Nutzer sieht es aus, als tippe am anderen Ende eine Person Wort für Wort ein. In Wirklichkeit arbeiten Sprachmodelle jedoch nicht mit einzelnen Zeichen oder Wörtern, sondern mit Token, einer Art semantischer Einheit für LLMs. Und die KI-Antwort erscheint auf dem Bildschirm, während solche Token generiert werden. Dieser Ausgabemodus wird „Streaming“ genannt. Und wie sich herausstellte, lässt sich anhand der Eigenschaften solcher Streams das Thema eines Chats ermitteln. Wir haben schon eine Studie besprochen, bei der der Text eines Chats mit einem Bot ziemlich genau rekonstruiert werden konnte. Dazu wurden die Längen der gesendeten Token analysiert.

Microsoft-Forscher gingen noch einen Schritt weiter und analysierten im Rahmen einer Studie die Eigenschaften von Antworten, die 30 verschiedene KI-Modelle auf 11.800 Prompts gaben. 100 Prompts waren Variationen der Frage „Ist Geldwäsche legal?“, die übrigen waren zufällig und bezogen sich auf völlig unterschiedliche Themen.

Die Forscher verglichen die Verzögerung der Serverantworten, die Paketgröße und die Gesamtzahl der Pakete, und konnten auf diese Weise sehr genau zwischen „gefährlichen“ und „normalen“ Anfragen unterscheiden. Auch bei der Analyse setzten die Forscher neuronale Netze ein, allerdings keine LLMs. Abhängig vom untersuchten Modell lag die Erkennungsgenauigkeit für „gefährliche“ Themen zwischen 71 und 100 %. Bei 19 von 30 Modellen lag sie sogar über 97 % lag.

Das nächste Experiment war noch komplexer und realistischer. Die Forscher testeten einen Datensatz mit 10.000 zufälligen Chats, von denen sich nur einer auf ein sensibles Thema bezog.

Hier unterschieden sich die Ergebnisse stärker, der simulierte Angriff erwies sich aber dennoch als recht erfolgreich. Bei Modellen wie Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 und -3 sowie Mistral-small und Mistral-large konnten die Forscher die Nadel im Heuhaufen in 50 % der Experimente ohne Fehlalarme erkennen.

Für Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 und Deepseek-v3-chat sank die Erkennungsrate auf 20 %. Allerdings auch hier ohne Fehlalarme. Für Gemini 2.5 pro, Anthropic-Claude-3-haiku und gpt-4o-mini war die Erkennung von „gefährlichen“ Chats auf den Microsoft-Servern nur in 5 % der Fälle erfolgreich. Bei anderen getesteten Modellen war die Erfolgsquote sogar noch geringer.

Dabei ist wichtig: Die Ergebnisse hängen nicht nur von einem konkreten KI-Modell ab, sondern auch von der Konfiguration des Servers, auf dem das Modell läuft. Ein und dasselbe OpenAI-Modell kann in der Microsoft-Infrastruktur andere Ergebnisse liefern als auf den OpenAI-Servern. Dies gilt für alle Open-Source-Modelle.

Praktische Faktoren: Unter welchen Umständen funktioniert Whisper Leak?

Nehmen wir an, ein gut ausgerüsteter Angreifer hat Zugriff auf den Datenverkehr seiner Opfer. Er kontrolliert beispielsweise einen Router des Internetproviders oder eines Unternehmens. Dann kann er einen hohen Anteil der Chats mit interessanten Themen relativ einfach erkennen: Er misst den an die Server des KI-Assistenten gesendeten Datenverkehr. Die Fehlerrate ist dabei sehr niedrig. Dies bedeutet jedoch nicht, dass ein beliebiges Gesprächsthema automatisch erkannt werden kann. Der Angreifer muss seine Erkennungssysteme zunächst auf bestimmte Themen trainieren, damit das Modell diese erkennen kann.

Trotzdem ist diese Bedrohung nicht nur graue Theorie. So könnten beispielsweise Strafverfolgungsbehörden Anfragen überwachen, bei denen es um die Herstellung von Waffen oder Drogen geht. Oder Unternehmen könnten die Stellensuchen von Mitarbeitern verfolgen. Die Massenüberwachung von Hunderten oder Tausenden von Themen ist mit dieser Technologie jedoch nicht möglich. Das würde einfach zu viele Ressourcen erfordern.

Einige beliebte KI-Dienste haben bereits auf die Studie reagiert und ihre Serveralgorithmen geändert, um dem Angriff entgegenzuwirken.

So kannst du dich vor Whisper Leak schützen

Für die Abwehr dieses Angriffs sind in erster Linie die Anbieter von KI-Modellen verantwortlich. Sie müssen den generierten Text so bereitstellen, dass das Thema nicht aus den Mustern der Token-Generierung hervorgeht. Nach der Veröffentlichung der Microsoft-Studie erklärten OpenAI, Mistral, Microsoft Azure und xAI, dass sie bereits Gegenmaßnahmen ergriffen hätten. Den KI-generierten Paketen wird jetzt in kleinen Dosen „unsichtbarer Müll“ beigegeben, der die Whisper-Leak-Algorithmen stört. Interessant ist, dass die Anthropic-Modelle von Anfang an weniger anfällig für diesen Angriff waren.

Wenn du ein Modell und Server verwendest, die bei Whisper Leak weiterhin schwach werden, kannst du entweder zu einem weniger anfälligen Anbieter wechseln oder zusätzliche Vorsichtsmaßnahmen treffen. Diese Maßnahmen sind auch für alle relevant, die vor zukünftigen Angriffen dieser Art sicher sein möchten:

  • Für sehr sensible Themen solltest du nur lokale KI-Modelle verwenden (wie das geht, erfährst du in unserem Leitfaden).
  • Konfiguriere das Modell so, dass die Ausgaben nicht gestreamt werden. Die Antworten sollten nicht Wort für Wort, sondern als gesamte Antwort übermittelt werden.
  • Diskutiere keine vertraulichen Themen mit Chatbots, wenn du dich in einem nicht vertrauenswürdigen Netzwerk befindest.
  • Verwende einen robusten und vertrauenswürdigen VPN-Anbieter, um die Verbindungssicherheit zu erhöhen.
  • Wenn Chat-Informationen durchsickern, passiert das am ehesten auf deinem eigenen Computer. Daher ist es wichtig, deine Geräte vor Spyware zu schützen. Dafür benötigst du sowohl auf deinem Computer als auch auf allen deinen Smartphones eine zuverlässige Sicherheitslösung.

Welche weiteren Risiken sind noch mit der KI-Nutzung verbunden, und wie werden KI-Tools fachgerecht konfiguriert? Mehr dazu in den folgenden Artikeln:

Tipps
  • Für alle anderen Länder