{"id":33005,"date":"2025-12-16T12:13:56","date_gmt":"2025-12-16T10:13:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33005"},"modified":"2025-12-15T14:16:36","modified_gmt":"2025-12-15T12:16:36","slug":"chatbot-eavesdropping-whisper-leak-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/chatbot-eavesdropping-whisper-leak-protection\/33005\/","title":{"rendered":"Das Fl\u00fcstern der neuronalen Netze"},"content":{"rendered":"

Menschen vertrauen neuronalen Netzen alle m\u00f6glichen wichtige und sogar intime Dinge an: Sie lassen medizinische Diagnosen \u00fcberpr\u00fcfen, holen sich Rat in Herzensangelegenheiten oder wenden sich mit Problemen an die KI statt an einen Psychotherapeuten<\/a>. Es gab bereits F\u00e4lle von geplanten Suiziden<\/a>, physischen Angriffen<\/a> und anderen gef\u00e4hrlichen Taten, die durch LLMs erm\u00f6glicht wurden. Auch aus diesem Grund geraten vertrauliche Chats zwischen Menschen und KI zunehmend ins Blickfeld von Beh\u00f6rden, Unternehmen und neugierigen Zeitgenossen.<\/p>\n

Und es gibt sicher gen\u00fcgend Interessierte, die den Whisper-Leak-Angriff f\u00fcr ihre Zwecke ausprobieren wollen. Mit diesem Angriff l\u00e4sst sich das generelle Thema von KI-Chats ermitteln, ohne dass dadurch der Datenverkehr in irgendeiner Weise beeintr\u00e4chtigt w\u00fcrde. Es werden einfach die Zeitmuster analysiert, die sich ergeben, wenn verschl\u00fcsselte Datenpakete \u00fcber das Netzwerk an den KI-Server gesendet und von dort empfangen werden. Aber keine Angst! Deine Chats k\u00f6nnen auch weiterhin privat bleiben. Mehr dazu weiter unten.<\/p>\n

Funktionsweise des Whisper-Leak-Angriffs<\/h2>\n

Alle Sprachmodelle geben die Ergebnisse schrittweise aus. F\u00fcr den Nutzer sieht es aus, als tippe am anderen Ende eine Person Wort f\u00fcr Wort ein. In Wirklichkeit arbeiten Sprachmodelle jedoch nicht mit einzelnen Zeichen oder W\u00f6rtern, sondern mit Token, einer Art semantischer Einheit f\u00fcr LLMs. Und die KI-Antwort erscheint auf dem Bildschirm, w\u00e4hrend solche Token generiert werden. Dieser Ausgabemodus wird \u201eStreaming\u201c genannt. Und wie sich herausstellte, l\u00e4sst sich anhand der Eigenschaften solcher Streams das Thema eines Chats ermitteln. Wir haben schon eine Studie besprochen<\/a>, bei der der Text eines Chats mit einem Bot ziemlich genau rekonstruiert werden konnte. Dazu wurden die L\u00e4ngen der gesendeten Token analysiert.<\/p>\n

Microsoft-Forscher gingen noch einen Schritt weiter und analysierten im Rahmen einer Studie die Eigenschaften<\/a> von Antworten, die 30 verschiedene KI-Modelle auf 11.800 Prompts gaben. 100 Prompts waren Variationen der Frage \u201eIst Geldw\u00e4sche legal?\u201c, die \u00fcbrigen waren zuf\u00e4llig und bezogen sich auf v\u00f6llig unterschiedliche Themen.<\/p>\n

Die Forscher verglichen die Verz\u00f6gerung der Serverantworten, die Paketgr\u00f6\u00dfe und die Gesamtzahl der Pakete, und konnten auf diese Weise sehr genau zwischen \u201egef\u00e4hrlichen\u201c und \u201enormalen\u201c Anfragen unterscheiden. Auch bei der Analyse setzten die Forscher neuronale Netze ein, allerdings keine LLMs. Abh\u00e4ngig vom untersuchten Modell lag die Erkennungsgenauigkeit f\u00fcr \u201egef\u00e4hrliche\u201c Themen zwischen 71 und 100\u00a0%. Bei 19 von 30\u00a0Modellen lag sie sogar \u00fcber 97\u00a0% lag.<\/p>\n

Das n\u00e4chste Experiment war noch komplexer und realistischer. Die Forscher testeten einen Datensatz mit 10.000 zuf\u00e4lligen Chats, von denen sich nur einer auf ein sensibles Thema bezog.<\/p>\n

Hier unterschieden sich die Ergebnisse st\u00e4rker, der simulierte Angriff erwies sich aber dennoch als recht erfolgreich. Bei Modellen wie Deepseek-r1, Groq-llama-4, gpt-4o-mini, xai-grok-2 und\u00a0-3 sowie Mistral-small und Mistral-large konnten die Forscher die Nadel im Heuhaufen in 50\u00a0% der Experimente ohne Fehlalarme erkennen.<\/p>\n

F\u00fcr Alibaba-Qwen2.5, Lambda-llama-3.1, gpt-4.1, gpt-o1-mini, Groq-llama-4 und Deepseek-v3-chat sank die Erkennungsrate auf 20\u00a0%. Allerdings auch hier ohne Fehlalarme. F\u00fcr Gemini 2.5 pro, Anthropic-Claude-3-haiku und gpt-4o-mini war die Erkennung von \u201egef\u00e4hrlichen\u201c Chats auf den Microsoft-Servern nur in 5\u00a0% der F\u00e4lle erfolgreich. Bei anderen getesteten Modellen war die Erfolgsquote sogar noch geringer.<\/p>\n

Dabei ist wichtig: Die Ergebnisse h\u00e4ngen nicht nur von einem konkreten KI-Modell ab, sondern auch von der Konfiguration des Servers, auf dem das Modell l\u00e4uft. Ein und dasselbe OpenAI-Modell kann in der Microsoft-Infrastruktur andere Ergebnisse liefern als auf den OpenAI-Servern. Dies gilt f\u00fcr alle Open-Source-Modelle.<\/p>\n

Praktische Faktoren: Unter welchen Umst\u00e4nden funktioniert Whisper Leak?<\/h2>\n

Nehmen wir an, ein gut ausger\u00fcsteter Angreifer hat Zugriff auf den Datenverkehr seiner Opfer. Er kontrolliert beispielsweise einen Router des Internetproviders oder eines Unternehmens. Dann kann er einen hohen Anteil der Chats mit interessanten Themen relativ einfach erkennen: Er misst den an die Server des KI-Assistenten gesendeten Datenverkehr. Die Fehlerrate ist dabei sehr niedrig. Dies bedeutet jedoch nicht, dass ein beliebiges Gespr\u00e4chsthema automatisch erkannt werden kann. Der Angreifer muss seine Erkennungssysteme zun\u00e4chst auf bestimmte Themen trainieren, damit das Modell diese erkennen kann.<\/p>\n

Trotzdem ist diese Bedrohung nicht nur graue Theorie. So k\u00f6nnten beispielsweise Strafverfolgungsbeh\u00f6rden Anfragen \u00fcberwachen, bei denen es um die Herstellung von Waffen oder Drogen geht. Oder Unternehmen k\u00f6nnten die Stellensuchen von Mitarbeitern verfolgen. Die Massen\u00fcberwachung von Hunderten oder Tausenden von Themen ist mit dieser Technologie jedoch nicht m\u00f6glich. Das w\u00fcrde einfach zu viele Ressourcen erfordern.<\/p>\n

Einige beliebte KI-Dienste haben bereits auf die Studie reagiert und ihre Serveralgorithmen ge\u00e4ndert, um dem Angriff entgegenzuwirken.<\/p>\n

So kannst du dich vor Whisper Leak sch\u00fctzen<\/h2>\n

F\u00fcr die Abwehr dieses Angriffs sind in erster Linie die Anbieter von KI-Modellen verantwortlich. Sie m\u00fcssen den generierten Text so bereitstellen, dass das Thema nicht aus den Mustern der Token-Generierung hervorgeht. Nach der Ver\u00f6ffentlichung der Microsoft-Studie erkl\u00e4rten OpenAI, Mistral, Microsoft Azure und xAI, dass sie bereits Gegenma\u00dfnahmen ergriffen h\u00e4tten. Den KI-generierten Paketen wird jetzt in kleinen Dosen \u201eunsichtbarer M\u00fcll\u201c beigegeben, der die Whisper-Leak-Algorithmen st\u00f6rt. Interessant ist, dass die Anthropic-Modelle von Anfang an weniger anf\u00e4llig f\u00fcr diesen Angriff waren.<\/p>\n

Wenn du ein Modell und Server verwendest, die bei Whisper Leak weiterhin schwach werden, kannst du entweder zu einem weniger anf\u00e4lligen Anbieter wechseln oder zus\u00e4tzliche Vorsichtsma\u00dfnahmen treffen. Diese Ma\u00dfnahmen sind auch f\u00fcr alle relevant, die vor zuk\u00fcnftigen Angriffen dieser Art sicher sein m\u00f6chten:<\/p>\n