Pesquisadores da Microsoft descobriram que conversar sobre assuntos sensíveis pode não ser tão seguro quanto parece. O ataque, batizado de Whisper Leak, consegue descobrir o assunto das suas conversas com inteligências artificiais como ChatGPT, Claude e outros modelos de linguagem, mesmo que todo o tráfego esteja criptografado de ponta a ponta.
De acordo com os pesquisadores da Microsoft, o problema não está na criptografia em si – ela continua funcionando perfeitamente. A questão é que os atacantes conseguem “ler nas entrelinhas” através de padrões de tamanho e tempo dos pacotes de dados que trafegam pela rede, mesmo sem conseguir descriptografar o conteúdo.
O que é o ataque Whisper Leak
O Whisper Leak é um ataque de canal lateral, uma técnica que explora informações vazadas indiretamente pelo sistema, em vez de quebrar a criptografia diretamente. Pense nisso como observar a fumaça saindo da chaminé de uma casa para adivinhar o que está sendo cozinhado lá dentro – você não precisa entrar na casa para ter uma boa ideia.
Neste caso, os cibercriminosos não conseguem ler o conteúdo das suas mensagens com o ChatGPT ou outros chatbots, mas conseguem identificar se você está conversando sobre tópicos sensíveis específicos. Nos testes realizados pela Microsoft, o ataque alcançou mais de 98% de precisão em identificar conversas sobre lavagem de dinheiro, por exemplo.
O mais preocupante é o cenário do mundo real simulado pelos pesquisadores: imagine um governo autoritário monitorando 10.000 conversas aleatórias com apenas uma sobre um tópico sensível misturada no meio.
Mesmo nesse cenário extremo, o ataque conseguiu identificar a conversa alvo com 100% de precisão, sem nenhum falso positivo. Isso significa que, em termos práticos, um atacante consegue apontar exatamente quem está falando sobre assuntos proibidos, protestos, eleições ou jornalismo investigativo.
Como funciona o ataque na prática
O Whisper Leak explora uma característica fundamental de como os chatbots de IA modernos funcionam. Quando você faz uma pergunta ao ChatGPT, por exemplo, ele não espera processar a resposta inteira para só então enviá-la de uma vez. Em vez disso, ele gera e envia palavra por palavra (tecnicamente, “token por token”) em tempo real – é por isso que você vê o texto aparecer gradualmente na tela.
Esse comportamento de streaming cria um problema sutil mas crítico. Cada palavra ou pedaço de texto que o chatbot envia vem em um pacote de dados de tamanho específico, e esses pacotes são enviados em intervalos de tempo também específicos. Mesmo que tudo esteja criptografado pelo TLS (a mesma tecnologia que protege seus dados bancários online), o tamanho dos pacotes e o tempo entre eles não são escondidos.
Basicamente, toda vez que o modelo de IA gera um token, o tamanho desse token mais a sobrecarga constante da criptografia resulta num padrão único de tamanho de pacote. Palavras diferentes têm tamanhos diferentes, e respostas sobre tópicos diferentes criam sequências características de pacotes.
Os pesquisadores treinaram modelos de inteligência artificial para reconhecer esses padrões. Eles coletaram milhares de exemplos de conversas sobre tópicos específicos e conversas aleatórias de controle, registrando apenas os tamanhos de pacotes e tempos de chegada – sem jamais descriptografar nada.
Com esses dados, algoritmos de machine learning aprenderam a identificar as “impressões digitais” únicas que cada tipo de conversa deixa no tráfego de rede.
Para tornar o ataque ainda mais perigoso, ele pode ser programado para agir em momentos específicos.
Um cibercriminoso pode injetar o código malicioso em um site com um gatilho temporal, deixando-o dormente até uma data e hora exatas. Isso permite ataques coordenados durante janelas críticas: abertura do mercado de ações, horários de pico de e-commerce ou até mesmo durante eventos políticos importantes.
Quem está em risco com essa vulnerabilidade
A resposta curta é: praticamente todo mundo que usa chatbots de IA, mas algumas pessoas enfrentam riscos muito maiores. O Whisper Leak afeta todos os principais modelos de linguagem testados – ChatGPT, Claude, Gemini, Llama, Mistral e dezenas de outros. Foram testados 28 modelos diferentes de grandes empresas, e 17 deles mostraram vulnerabilidade com mais de 98% de precisão para o atacante.
Os pesquisadores destacam que isso representa riscos especialmente reais para usuários sob governos opressivos onde podem estar mirando tópicos como protestos, material proibido, processo eleitoral ou jornalismo. Em países com censura pesada ou perseguição política, um simples questionamento sobre direitos civis ou críticas ao governo pode colocar alguém em risco.
Profissionais que lidam com informações sensíveis também estão na linha de fogo. Advogados consultando chatbots sobre estratégias legais, médicos buscando segunda opinião sobre diagnósticos, jornalistas pesquisando tópicos investigativos – todos podem ter seus interesses revelados para quem estiver monitorando a rede.
O ataque presume que o adversário esteja em posição de observar o tráfego de rede entre você e o servidor do chatbot. Isso inclui provedores de internet, administradores de rede corporativa ou universitária, pessoas conectadas ao mesmo Wi-Fi público que você, ou até mesmo Estados-nação com acesso à infraestrutura de internet em nível nacional.
Os testes mostraram que quanto mais dados de treinamento o atacante coleta, melhor fica sua capacidade de identificar tópicos. Além disso, conversas mais longas com múltiplas rodadas de perguntas e respostas deixam padrões ainda mais distintivos, facilitando a identificação.
Como se proteger
A boa notícia é que algumas empresas já implementaram proteções após a divulgação responsável feita pela Microsoft. OpenAI, Microsoft Azure, Mistral e xAI já liberaram mitigações que reduzem drasticamente a eficácia do ataque. Essas empresas adicionaram campos extras nas respostas com sequências aleatórias de texto de tamanho variável, mascarando o comprimento real dos tokens e quebrando os padrões que o ataque explora.
No entanto, muitos outros provedores de IA ou declinaram agir ou simplesmente não responderam ao alerta de segurança. Por isso, é importante tomar medidas do lado do usuário também.
- Use VPN ao acessar chatbots: isso adiciona uma camada extra de proteção ao criptografar todo o seu tráfego antes que ele saia do seu dispositivo;
- Evite redes públicas para assuntos sensíveis: Wi-Fi de cafés, aeroportos, hotéis e outros locais públicos são especialmente vulneráveis. Qualquer pessoa na mesma rede pode potencialmente monitorar seu tráfego;
- Desative o modo streaming quando disponível: alguns provedores de chatbot permitem desativar o modo streaming, fazendo com que a resposta completa seja gerada antes de ser enviada de uma vez. Isso elimina a vulnerabilidade do Whisper Leak, já que não há mais a sequência característica de pacotes pequenos sendo enviados um por um;
- Mantenha-se informado sobre práticas de segurança: novas vulnerabilidades são descobertas regularmente, assim como novas proteções são desenvolvidas. Acompanhe os blogs de segurança dos provedores que você usa e fique atento a atualizações.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.