Sicherheitsforscher haben eine neue Whisper-Leaks genannte Methode entdeckt, um einen Seitenkanalangriff auf die Kommunikation mit Sprachmodellen im Streaming-Modus durchzuführen. Durch geschicktes Ausnutzung von Netzwerkpaketgrößen und -timings könnten Informationen abgezogen werden.
Mit der KI-Welle werden immer häufiger große Sprachmodelle (LLMs), KI-gestützte Chatbots und AI-Agenten in Unternehmen und im Privatumfeld eingesetzt. Solche KI-Systeme werden zunehmend auch in sensiblen Bereichen eingesetzt, darunter im Gesundheitswesen, in der Rechtsberatung und in der persönlichen Kommunikation von Nutzern. Daher ist es von entscheidender Bedeutung, dass die zwischen Menschen und Sprachmodellen ausgetauschten Daten anonym und sicher bleiben. Sicherheitsforscher untersuchen KI-Lösungen daher auf mögliche Schwachstellen
Whisper-Leaks Seitenkanalangriff entdeckt
Sicherheitsforscher von Microsoft sind auf eine neue Angriffsmöglichkeit gestoßen, die die Kommunikation mit Sprachmodellen (LLMs) belauscht. Die Information über den Whisper-Leaks genannten Seitenkanalangriff ist mir die Woche über nachfolgenden Tweet bereits untergekommen. Ein Blog-Leser hat die Tage ebenfalls auf den Microsoft-Beitrag Whisper Leak: A novel side-channel attack on remote language models hingewiesen (danke dafür).
Die Kurzfassung des Artikels: Ein Angreifer, der in der Lage ist, den per TLS verschlüsselten Datenverkehr zwischen Nutzer bzw. AI-Agenten und einem Sprachmodell (LLM) zu beobachten, könnte eine Art von Seitenkanalangriff nutzen, um Rückschlüsse auf die Gesprächsthemen des Sprachmodells zu ziehen. Dies könnte die Privatsphäre der Nutzer und Unternehmen bei der Kommunikation mit Chatbots trotz End-to-End-Verschlüsselung über TLS gefährden.
Eine Auswertung der Microsoft-Analyse zeigt, dass bei vielen Sprachmodellen der Whisper-Leak-Seitenkanalangriff Trefferquoten von über 98 % erreichte. Das bedeutet, dass die einzigartigen digitalen "Fingerabdrücke", die Konversationen mit LLMs zu einem bestimmten Thema hinterlassen, so eindeutig sind, dass Microsofts KI-gestützter Lauschalgorithmus diese in einem kontrollierten Test zuverlässig herausfiltern konnte. Das heißt: Fast jedes "Gespräch" zwischen Nutzer und AI, das der Cyberangreifer als verdächtig markiert, würde tatsächlich das sensible Thema betreffen – ohne Fehlalarme. Diese Genauigkeit bedeutet, dass ein Cyberangreifer mit hoher Sicherheit agieren könnte, da er weiß, dass er keine Ressourcen für Fehlalarme verschwendet.
Microsoft veranschaulicht die Brisanz so: Überwacht eine Regierungsbehörde oder ein Internetdienstanbieter den Datenverkehr zu einem beliebten KI-Chatbot, könnten Nutzer zuverlässig identifiziert werden, die Fragen zu bestimmten sensiblen Themen stellen – sei es Geldwäsche, politische Dissidenz oder andere überwachte Themen –, obwohl der gesamte Datenverkehr verschlüsselt ist.
In den USA wurde im Oktober 2025 bekannt, dass Jonathan Rinderknecht wegen eines in Kalifornien gelegten Feuers, welches mehrere Todesopfer forderte, verhaftet wurde. Mit zur Verhaftung trugen Anfragen der Person an ChatGPT zu diesem Themenfeld bei.
Microsoft hat mit mehreren Cloud-Anbietern von Sprachmodellen zusammengearbeitet, um das Risiko zu mindern, und sichergestellt, dass die eigenen Sprachmodell-Frameworks vor dieser Art Angriffen geschützt sind, heißt es im Artikel.
MVP: 2013 – 2016
Und die EU wollte mit der "Chatkontrolle" die Verschlüsselung ganz aufbrechen, oder habe ich das falsch im Kopf? Falls ja, zeigt uns die USA wieder mal, dass es wohl gar nicht nötig ist. Schade, dass diese News nicht aus Europa stammt. Scheint so, als hätten wir in der EU noch immer keine Expertise? Hm.
Oder die Behörden kennen die Lücke und sagen absichtlich nichts, damit Strafverfolgungsbehörden und Geheimdienste diese Lücken weiterhin nutzen können.
Sie wollten es offiziell machen, was vermutlich inoffiziell eh schon gemacht wird.
Zitat aus dem Microsoft-Artikel:
"At a high level, language models generate responses by predicting and producing one token at a time based on the given prompt. Rather than constructing the entire response at once, the model sequentially calculates each token using the previous tokens as context to determine the next most likely word or phrase. "
—
Daran kann man erkennen, was für ein unglaublicher Schwachsinn, diese "KI" ist.
Es wird einfach nur das temporär wahrscheinlichste Wort angezeigt, basierend auf den vorhergehenden wahrscheinlichsten Wörtern "als Kontext" und so wird dann Satz für Satz aufgebaut.
Sowas ist keineswegs Intelligenz, sondern lediglich Statistik, also Wahrscheinlichkeitsrechnung.
Man kann es auch guten Gewissens "HOAX" oder "Hochstapelei" nennen.
Daraus wird niemals eine echte Intelligenz entstehen, ganz egal wie sehr man dieses Prinzip "trainiert".
Da investieren Konzerne hunderte Milliarden Dollar in "Phrasendreschmaschinen".
Darüber könnte man sich ablachen, aber diese Investitionen geschehen auf Pump und wenn (nicht falls) das keinen Gewinn abwirft, dann werden einige Aktienwerte rasant fallen und ein Börsenbeben auslösen.
Gut erkannt. Leider realisieren die wenigsten Leute diesen Wahnsinn.
Betr. "… sondern lediglich Statistik, also Wahrscheinlichkeitsrechnung.":
Sowas kommt raus, wenn Leute nie eine Statistikvorlesung besucht haben und bspw. mal in Kontakt mit der Leistungsfähigkeit von Bayesian Modelling bei der Triebwerkssimulation in Luft- und Raumfahrt kamen.
Kläfft ihr nur weiter. Dass sich KI gerade anschickt, zur 'IT Next Level' zu werden, passt nicht mehr in eure Schädel. Die Zeit der IT-Infanteristen geht zu Ende – gut so.
Solange man die "KI" mit ein paar 100 Trainigsdaten zu Fall bringen kann wayne?
Selten so gelacht. Den Unterschied zwischen LLM und anderen, spezifischeren KI-Modellen kennst du? Für die meisten Leute ist das leider alles das gleiche (woher sollen sie es auch besser wissen), ist es aber absolut nicht. Wir haben bei uns ein Industrie 4.0 Projekt laufen (schon seit ein paar Jahren, noch vor ChatGPT und Co), bei dem auch KI für die Datenanalyse zum Einsatz kommt, aber eben eine spezifische, die genau für diese Art von Aufgaben gedacht ist. Die hat durchaus einen Mehrwert, zumindest was man aus der entsprechenden Abteilung so hört.
Aber das ganze LLM-Zeug, das im Moment als "KI" durch alle Medien geht und inzwischen von jedermann genutzt wird als sei es der Heilsbringer ist eine völlig andere Baustelle. Das kannst du am besten direkt wieder wegentsorgen, da kann nichts brauchbares bei rumkommen.
Es fehlt leider oft jede Bereitschaft, sich auch nur grundlegend mit der Funktionsweise der LLM Antworten auseinanderzusetzen und den Wahnsinn darin mit der Wahrscheinlichkeitsberechnung für ähnliche Worte/Tokens in der Nähe der gesuchten Worte/Tokens und daraus dem Basteln eines grammatikalisch einigermaßen verständlichen Satzes zu erkennen. Jeder, der das einmal verstanden hat, sieht LLM allenfalls als grobe Suchmaschine, aber keineswegs als irgendeine Intelligenz.
Der Punkt ist in meinen Augen scharf daneben – auch wenn ich verstehe, was Du ausdrücken willst. Die Kernfrage, auf die sich das Ganze ohne Technik herunterbrechen lassen kann, liegt in folgendem Analogon: Würde jemand einen Hammer benutzen, wenn die Gefahr besteht, dass er sich a) bei jedem zweiten Schlag schwer verletzt (auf den Finger hämmern gehört nicht hinzu), b) das Werksteil bei jedem Schlag Gefahr läuft, zerstört zu werden, und c) sich herausstellt, dass man mit dem Hammer nicht mal die Schraube wie gewünscht herausgedreht bekommt? Aber bei der Black-Box LLM meint die Masse, dass das (gemäß Marketing-Versprechen) für alles taugt. Selbst grobe Suchmachine ist bei LLMs nicht.
Noch unsachlicher am Thema vorbei geht es kaum…
Das müsstest Du schon erläutern, was Du meinst – so, wie der Kommentar da steht, kann er sich auf den Artikel oder eventuell auf einen anderen Kommentar beziehen.
Gehört zum Kommentar um 06:18 Uhr
https://www.borncity.com/blog/2025/11/09/microsoft-findet-seitenkanalangriff-whisper-leak-in-llms/#comment-235993
Ok, danke, hatte es vermutet – aber es ist immer gut, wenn klar gestellt wird, worauf sich das bezieht.